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前 言 


芍 和 后 助 条 痊 币 裤 佑 争 ， 味 祛 味 惠 展 诽 笔 酌 条 伍 直 避 晃 毗 壶 竹 ， 跌 棺 跌 奶 条 依 芍 例 圈 
Intermet， 来 价 依 连 触 履 勺 译 架 、 余 着 查 逸 稿 帧 伍 竖 限 备 诽 笔 酉 脸 迷 搁 ， 刘 奶 依 条 诽 策 酌 争 
宴 估 颇 减 仪 了 依 、 诅 鸣 当 乔 至 余 酉 无 粤 锌 触 丛 忱 ， 撤 俗 ， 痊 和 缸 灾 凌 蛋 纱 扬 三 世 了 旺 紫 锌 角 
条 豚 馈 。 琶 至 肽 鄂 瑶 析 岂 (Federal Bureau of Investigation，FBI) 持 喷 明 神 ， 反 小 收 痊 和 缸 容 
凌 斗 划 话 和 傻 垄 邀 座 书 麻 。 诽 笔 杯 斗 划 杀 担 许 俗 否 展 痊 生 哨 展 逸 稿 详 隐 伍 赵 稿 异 务 上 /上 壶 间 ， 
借 扬 父 展 肯 姑 附 灶 哨 虹 插 亚 圈 痊 (VPN) 较 细 乌 静 渍 医 豆 闭 。 周 梓 ，1 借 扬 父 衬 佑 展 猜 
全 密 凌 亚 吉 依 哆 竹 衣 渍 ， 味 笛 缠 和 静 角 栈 熏 腺 效 扬 答 挤 把 灾 凌 迁 亿 碍 砚 估 条 亚 惠 依 哆 。 

扭 至 诽 征 酉 窒 姜 阶 振 逐 勤 劣 紫 咏 通 ， 狸 好、 伯 豆 圾 侯 哨 了 依 诽 笔 酌 圈 抓 务 窒 凌 从 谢 本 
虎 禾 ， 诽 笔 酉 必 录 景 吴 出 凡 都 竟 超 、 诽 笔 酉 瘤 氮 哨 痊 和 缸 典 对 条 斗 划 ， 束 价 斗 划 应 应 麻 来 枚 
妃 夭 颌 雅 个 。 钊 钓 话 扬 、 证 全 条 颖 曼 、 涯 艰 、 乾 妍 哨 复 略 ， 此 作 估 纵 笃 余 、 伯 豆 哨 了 依 腹 
扬 惧 妃 节 红 涪 拯 妍 ， 联 买 乾 鲍 反 否 市 至 俱 室 姜 哨 实 佑 容 实 。 娃 保 丛 振 诽 第 桥 争 攻 偷 忱 此 福 
蒜 洱 营 叶 、 有 上 暴 、 签 测 哨 艳 垫 ， 蛋 扬 三 但 估 减 兆 哨 任 蛋 访 刘 茸 隐 馈 。 

追 启 检 ， 扭 优 展 仪 痊 缸 哨 偷 忆 容 痰 昕 车 上册 医 泽 来 但 三 ， 谭 地 丰 来 减 都 附 、 竺 型 关 电 哨 
肚 弄 候 奇 和 拱 羔 父 迟 妃 茵 级 勒 展 伴 达 粮 隐 馆 ，1 试 馈 伯 必 奶 隐 馈 。 俩 鉴 ， 痊 生 灾 凌 医 世 了 
此 蝶 吴 如 辽 贷 医 饥 津 ， 痊 缸 斗 草 哨 阶 居 区 贞 上 攻 人 人 彤 争 。 踪 天， 垄 20 姿 绕 90 认 俱 ， 侩 居 
窒 凄 隐 葵 出 角 俗 签 原 桨 氮 答 币 肝 剖 政 ， 怪 晒 狂 氮 粤 吴 邵 、 仔 圈 哨 佼 捧 恬 经 憾 务 。 响 枕 ， 遏 
阑 21 瓷 缆 听 ， 条 瞧 斧 肽 痊 圈 抓 务 壶 关 ， 斧 肽 痊 俗 否 全 三 说 距 圈 原 谊 条 TCP/IP 复 麻 汉 搁 维 ， 
带 赋 三 跌 棺 跌 奶 条 斗 划 佼 手 遵 忠 搬 合 人 伍 圈 刻 叫 。 过 上 你 仔 办 伯 展 材 奶 材 入 妃 柬 队 忽 酉 伸 
茵 静 渍 ， 周 晒 1 有 瞪 订 搬 合 人 阑 们 展 贻 哨 阑 们 聆 。 赋 阶 瘤 氮 仔 虽 联 谈 ， 志 稠 率 些 洋 扫 连 稿 显 
搬 瑚 从 斗 划 帧 麻 ，1 搬 瑚 从 阶 忽 下 麻 条 大 枞 个 沐 刻 。 斧 肽 痊 粤 星 类 猎 个 人 侈 淡 吴 三 世 了 麻 
来 必 奶 肯 档 条 形 龙 ， 联 买 察 连 三 斗 划 聆 搬 合 伯 莹 广 叶 俗 咏 咱 斗 世 条 幸 听 。 芍 密生 助 踢 普 吴 
茵 周 晒 ， 坐 继 寥 凌 岱 琴 医 诡 衣 豚 馈 1 芍 蛇 岱 哨 吴 想 。 

休 笨 瞧 痊 和 缸 哨 侩 忱 窒 凌 过 赂 仔 员 条 扬 粳 , 扭 优 殿 礁 肯 芍 连 了 樟 眉 寨 姜 哨 想 类 书 福 兆 葬 。 
味 主 中 殿 垄 邀 毁 搬 瑚 灾 凌 做 谢 哨 展 灾 凄 大 为 条 吐 厅 。 氰 姑 沁 人 迁 译 咏 ， 术 绕 世 异 下 仪 侃 做 
笨 窒 凌 贞 刑 联 复 依 估 甜 ， 瑰 芍 ， 促 做 帧 弹 医 窗 凄 咀 麻 书 卓 殿 条 客人 能 。 瑰 芍 怡 迁 条 仔 顺 垄 
蚁 同 产 咒 ， 侍 此 肪 扳 仙 逛 展 寥 姜 隐 馈 茸 裁 九 。 

柴 伪 德 绪 伦 缩 从 侩 忱 窒 凌 饥 巡 条 味 了 上 昕 其 ， 峙 角 凡 系 来 : 痊 负 容 姜 樟 衣 、 诽 第 桥 疫 毛 
附 蔡 、 话 摇 甸 无 、 阶 烩 坦 拜 仿 、 诽 笔 酉 窒 凄 箱 玉 、 邮 寻 痊 窒 凄 箱 玉 、 座 建 痊 容 姜 箱 玉 、 壮 
所 容 凄 刘 | 出 哨 痊 缸 窒 凄 寺 县 。 董 毛 世 笼 争 ， 虑 作 谎 试 从 霹 剑 胁 玉 ， 连 竺 仅 讳 纺 夸 聆 匈 扣 搬 
便 风 明 ， 谅 诡 聆 来 恢 特 哨 编 人 条 竖 限 。 

柴 伪 麻 来 寨 骆 条 研 谢 侯 细 ， 展 友 谢 务 谎 试 颖 悉 德 香 ， 愉 应 黎 晕 ， 遗 伟 景 受 ， 逐 邀 毁 搬 
瑚 夸 聆 务 侈 圈 肪 勤 ， 幅 至 疲 人 拜 腺 。 

虽 帮 ， 人 柴 伪 兆 锌 寺中 、 徐 和 瑶 寺 圈 。 氨 笼 豚 响 条 编 人 谷 ， 秋 签 原 鹿 大 枞 ， 寨 凄 帮 有 旧 从 拾 
笼 涤 和 否 备 久 艇 友 谢 。 


IV 痊 拭 灾 凄 霹 磅 时 入 


类 仿 旦 艇 其 吡 峥 杷 父 斌 痊 饶 容 姜 坪 秦 研 谢 医 兢 险 。 蚌 荧 业 仿 警 七 类 域 雁 仿 ， 债 艇 渍 外 
险 蜂 类 纺 攻 诽 第 杯 晓 抓 ， 旨 应 人 黎 虹 诽 第 桥 愤 伍 擒 丫 人 ， 逐 效 炬 缩 侥 晓 疑 成 纪 快 哨 Web 演说 
只 ， 父 斌 考 剑 邯 述 臻 。 左 聆 订 齿 席 在 考 剑 邯 诽 笔 酉 码 谢 ， 俩 上 岂 静 钓 细 扬 寂 人 诽 笔 本 亚 豆 条 
豚 稿 。 

柴 伪 和 亚 渴 厘 恕 站 请 供 、 强 映 载 职 种 眠 署 ， 枪 脐 哨 现 靓 人 奇人 知 匆 父 署 LI 哨 俩 漠 。 吞 乱 
上 集 伪 署 LI 帧 令 攻 连 来 枪 供 、 酉 混 、 刊 生 、 顾 所 、 散 俗 迎 、 郑 慎 、 郑 剑 刻 、 哄 仍 、 蕊 副 、 郊 
蜡 芒 、 陆 余 由 、 候 浏 暖 、 鼠 蝴 、 听 性 表 、 科 昔 、 些 饮 、 现 咕 俏 、 只 条 供 、 宁 需 、 保 蜡 旬 、 
民 混 、 句 互 炳 、 西 砂 、 检 蜡 柳 、 陆 矿 、 枪 条 钢 、 刘 归 由 、 划 成 琉 、 仔 收 载 、 航 窗 、 跑 逸 钢 
锌 依 。 

柴 伪 垄 署 LI 连 稿 争 ， 吞 特 伯 刘 奶 至 痊 缸 灾 凄 友 谢 瞪 减 务 枞 饮 哨 伪 糙 ， 展 仪 迷 价 既 笼 攻 
但 险 哨 仿 粘 署 险 芍 毁 和 神 袜 慨 薰 异 犹 ! 痊 缸 室 凌 伯 输 览 世 了 昌 谭 蘑 大 狂 ， 谓 奶 条 天 唐 、 寺 
躁 仪 垄 撮 绒 产 争 ， 内 入 书 署 队 疲 谢 来 陋 扮 署 LI 茸 病 灌 ， 姥 室 垄 独 符 哨 贞 威 产 葛 ， 各 侈 聆 挖 
说 捣 典 。 


但 险 
2009 砂 2 配 


宁 直 网 东 二 二 岳 作 CR 1 
1.1 计算 机 网 络 的 发 展 和 应 用 .. 
1.2 网络 安全 所 面临 的 挑战 
1.2.1 网 络 内 部 安全 挑战 
1.2.2 网络 外 部 安全 挑战 
1.3 网 络 安全 的 内 容 
1.3.1 计算 机 安全 … 
1.3.2 ”局域网 安全 .… 
1.3.3 ”广域网 安全 
1.4 ”网 络 安全 问题 的 解决 思路 .… 
1.4.1 技术 角度 
1.4.2 ”管理 角度 .… 
1.5 网 络 安全 的 重要 性 
1.6 网络 安全 的 紧迫 性 .…. 


第 2 章 计算 机 病毒 防范 .. 
2.1 计算 机 病毒 的 基本 概念 .……… 
2.1.1 什么 是 计算 机 病毒 
2.1.2 ”计算 机 病毒 的 命名 
2.1.3 ”计算 机 病毒 的 分 类 
2.2 计算 机 病毒 的 特点 及 表现 现象 … 
254 
2.2.2 ”计算 机 病毒 发 作 前 的 表现 现象 
2.2.3 ”计算 机 病毒 发 作 时 的 表现 现象 …. 
2.2.4 ”计算 机 病毒 发 作 后 的 表现 现象 
2.3 ”计算 机 病毒 检测 方法 
2.3.1 手动 检测 病毒 的 常用 辅助 工具 
2.3.2 ”手动 清除 款 雪 病毒 
2.4 ”计算 机 病毒 防范 措施 
2.4.1 计算 机 病毒 的 预防 . 
2.4.2 ”计算 机 病毒 感染 后 的 一 般 修 复 处 理 方法 .… 
2.4.3 ”诺顿 杀毒 软件 


3.1 


3.2 


3.3 


3.4 


35 


网 络 安全 基础 教程 


数据 加 密 概述 .… 
3.1.1 数据 加 密 
3.1.2 ”基本 概念 
对 称 加 密 算法 …. 
3.2.1 DES 算法 及 其 基本 思想 .…. 
3.2.2 DES 算法 的 安全 性 分 析 .… 
3.2.3 ”DES 加 密 算法 举例 . 
公开 密 钥 算法 
3.3.1 RSA 算法 及 其 基本 思想 .. 
3.3.2 RSA 算法 的 安全 性 分 析 .. 
3.3.3 RSA 加 密 算法 举例 . 
数据 加 密 技术 的 应 用 . 
3.4.1 
3.4.2 ”传输 安全 … 
3.4.3 身份 认证 … 
3.4.4 在 电子 商务 方面 的 应 用 
3.4.5 加 密 技 术 在 VPN 中 的 应 用 .. 
加 密 举 例 … 


第 本 章 防火 二 法术 65 


4.1 


4.2 


4.3 


4.4 


防火 墙 基本 概念 … 
4.1.1 防火 墙 定义 
4.1.2 防火墙 的 功能 .…. 
4.1.3 ”防火 墙 的 分 类 
4.1.4 ”防火 墙 体系 结构 及 组 合 形式 
用 协议 分 析 工 具 学 习 TCP/IP. 
4.2.1 
站 39 
和 
4.2.4 


4.3.1 包 过 滤 防 火 墙 的 一 般 概念 … 
4.3.2 包 过 滤 防 火 墙 的 工作 原理 .… 
4.3.3 包 过 滤器 操作 的 基本 过 程 … 


4.4.1 为 什么 要 进行 代理 . 
4.4.2 ”代理 服务 的 优 缺 点 . 
4.4.3 ”代理 服务 的 工作 方法 .. 


4 人 理 服 务 吕 的 使 用 :Seeeekaeaoapaea 94 
4.5 防火 墙 技术 的 发 展 趋势 
4.5.1 防火墙 包 过 滤 技术 发 展 趋势 
4.5.2 ”防火 墙 的 体系 结构 发 展 趋势 
4.5.3 防火墙 的 系统 管理 发 展 趋势 
4.6 ”防火墙 应 用 


第 5 一 宁 年 机 安生 层 理 二 102 
5.1 软件 安全 
5.1.1 系统 补丁 . 
5.1.2 ”配置 管理 .…. 
5.1.3 系统 备份 
5.1.4 反 间 谍 软 件 . 
5.2 ”数据 安全 .…. 
5.2.1 文件 管理 . 
5.2.2 ”接口 管理 . 
525 
5.2.4 


第 6 章 局 域 网 安全 管理 066000ssss i 144 


6.1 局 域 网 概述 
6.1.1 网 络 概况 . 
IR Ts MN he 146 
6.1.3 ”网 络 结构 特点 

6.2 ”安全 评估 
6.2.1 网 络 安全 为 何 会 失败 … 
6.2.2 ”为 何 要 执行 安全 评估 … 
6.2.3 ”规划 安全 评估 . 
6.2.4 ”安全 评估 范围 
6.2.5 ”安全 评估 目标 . 
6.2.6 ”安全 评估 的 类 型 
6.2.7 ”使 用 漏洞 扫描 来 评估 网 络 安全 
6.2.8 ”使 用 突破 测试 来 评估 网 络 安全 
6.2.9 ”安全 审核 的 组 成 部 分 … 
6.2.10 ”报告 安全 评估 结果 .… 

6.3 ”网络 系统 安全 风险 分 析 
6.3.1 物理 安全 风险 分 析 -. 


6.4 


6.5 


6.6 


6.7 


6.8 


6.9 


网 络 安全 基础 教程 


3 网络 溯 各 的 安生 网 隆 外 析 153 
6.3.3 系统 的 安全 风险 分 析 … 
6.3.4 应 用 的 安全 风险 分 析 … 划 
535 管理 的 安生 网 险 分 枚 -aa 154 
6.3.6 ”黑客 攻击 
6.3.7 ”通用 网 关 接 口 (CGI) 漏洞 . 
6.3.8 ”恶意 代码 …. 
6.3.9 ”病毒 的 攻击 . 本 
了 155 
6.3.11 网 络 的 攻击 手段 
安全 需求 与 安全 目标 
6.4.1 ”安全 需求 分 析 . 
6.4.2 网络 安全 策略 . 
6.4.3 ”系统 安全 目标 . 
网 络 安全 方案 总 体 设计 … 
6.5.1 ”安全 方案 设计 原则 .. 
6.5.2 ”安全 服务 、 安 全 机 制 与 安全 技术 . 
网 络 安全 体系 结构 
6.6.1 
6.6.2 
6.6.3 
6.6.4 
6.6.5 
6.6.6 
6.6.7 
6.6.8 


6.7.2 ”网 络 管理 . 
6.6.3 网络 监 控 
网 络 安全 服务 
6.8.1 ”借用 安全 评估 服务 帮助 我 们 了 解 自身 安全 性 
6.8.2 采用 安全 加 固 服务 来 增强 信息 系统 的 自身 安全 性 
6.8.3 ”部 署 专用 安全 系统 和 设备 提升 安全 保护 等 级 
6.8.4 加 强 安全 教育 培训 来 减少 和 避免 安全 事件 的 发 生 
6.8.5 引入 应 急 响 应 服务 及 时 有 效 地 处 理 重大 安全 事件 
6.8.6 ”借助 安全 通告 服务 对 安全 威胁 提前 预警 Ee 
1 Se. ERP TO RR OTT OE NE WOO RO OR 183 
9 过 二 184 


Go Thm A a 188 
6.9.3 ”局 域 网 资产 管理 .. 


第 7 章 广域网 安全 管理 … 
7.1 广域网 的 风险 
7.2 ”防火墙 技术 应 用 
7.2.1 防火 墙 部 署 . 本 
Ee NE 200 


7.5 企业 广域网 安全 .. 
7.6 ”电子 商务 安全 . 
7.6.1 电子 商务 安全 策略 .. 
7.6.2 ”电子 商务 安全 技术 .. 
7.6.3 ”电子 商务 安全 规范 .. 
7.6.4 ”Windows 2000 的 安全 机 制 
7.6.5 Windows 2000 下 建立 CA 中 心 的 具体 操作 过 程 .. 
7.7 ”电子 政务 安全 


第 8 章 网络 安全 规划 
8.1 网 络 和 应 用 现状 分 析 汉 
3 EE 233 
8.1.2 ”网 络 现状 分 析 . 
8.1.3 ”应 用 现状 分 析 . 
8.1.4 安全 系统 设计 目标 
8.2 ”网络 安全 系统 整体 规划 
8.2.1 ”安全 体系 框架 分 析 .. 
8.2.2 ”安全 子 系统 划分 .… 
8.3 通信 平台 安全 子 系统 .……. 
8.4 网 络 平台 安全 子 系统 .…………- 
8.4.1 网 络 平台 安全 域 划分 
8.4.2 ”网 络 平台 安全 需求 分 析 
8.4.3 ”安全 网 络 拓扑 结构 .. 
8.4.4 ”防火墙 配 置 方案 
8.4.5 总 部 局 域 网 防火 墙 配置 方案 
8.4.6 ”入 侵 检测 系统 设计 


网 络 安全 基础 教程 


8 47 网 络 平 合 安全 也 系统 小 缚 本 和 全 和 243 
85， 系 统 平台 安全 子 系统 -sr 

8.5.1 系统 平台 安全 需求 分 析 py: 

8.52， 过 缠 平 各 安全 碟 的 划分 30secnnn Dm 243 


8.5.3 ”服务 器 安全 配置 
8.5.4 漏洞 扫描 和 评估 系统 
8.5.5 ”企业 防 病毒 体系 .. 
8.6 应 用 平台 安全 子 系统 .……. i 
9 Ep OCI 249 
8.6.2 ”应 用 平台 安全 子 系统 设计 思路 
8.6.3 ”应 用 系统 安全 机 制 分 析 
8.6.4 ”应 用 系统 安全 风险 分 析 .… 
8.6.5 ”应 用 安全 平台 需求 分 析 .… 
8.7 网 络 安全 规划 案例 .. 
8.7.1 背景 简介 . 
8.7.2 评估 结果 . 
8.7.3 ”安全 计划 
8.7.4 资源 和 预算 . 
8.8 安全 服务 . 


第 9 章 网 络 安全 实施 
9.1 网 络 安全 实施 原则 
9.1.1 网 络 安全 策略 
9.1.2 网络 安 全 分 步 实施 .. 
9.2 ”安全 性 设计 过 程 
9.2.1 安全 原则 
9.2.2 ”监视 和 控制 . 
9.3 网 络 安全 措施 
9.3.1 容易 的 了 J 
9.3.2 ” 较 难 的 任务 . 
9.3.3 ”请 求 帮助 . 
9.4 ”保护 网 络 安全 的 7 个 步骤 
9.4.1 保护 你 的 台式 机 和 便携 机 
9.4.2 ”保证 数据 安全 
9.4.3 ”安全 地 使 用 Internet. 
9.4.4 ”保护 网 络 …………………….. i 
045 可 折服 务 全 sme 
9.4.6 ”保护 业务 应 用 程序 
9.4.7 ”从 服务 器 管理 台式 机 或 便携 机 


出 训 从 站 最 289 
9.6 ”保护 敏感 文档 . 
9.7 日 志 分 析 二 
Se 294 


第 1 章 网 络 安全 概论 


教学 提示 

计算 机 网 络 的 广泛 应 用 ， 为 人 们 的 生产 、 生 活 、 工 作 、 娱 乐 等 带 来 了 方便 ， 同 时 由 于 
技术 原因 和 人 为 因素 ， 也 为 人 们 带 来 了 诸多 安全 隐患 。 

本 章 首 先 回顾 了 计算 机 网 络 技术 的 发 展 和 应 用 情况 ， 然 后 提出 当前 网 络 安全 所 面临 的 
挑战 ， 并 对 网 络 安全 所 涉及 的 内 容 进行 了 简要 说 明 , 提出 了 解决 网 络 安全 问题 的 总 体 思路 ， 
最 后 强调 了 网 络 安全 的 重要 性 和 紧迫 性 。 

通过 对 本 章 的 学 习 ， 应 当 对 网 络 安全 问题 以 及 解决 网 络 安全 问题 的 方法 有 一 个 初步 的 
认识 ,为 进一步 学 习 相 关 知 识 黄 定 一 个 良好 的 基础 ， 并 认 清 做 好 网 络 安全 工作 的 重要 意义 。 
教学 重点 

@ 理解 网 络 安全 所 面临 的 挑战 。 

@ 掌握 网 络 安全 的 内 容 。 

@ 掌握 网 络 安全 问题 的 解决 思路 。 

@ 理解 网 络 安全 的 重要 性 和 紧迫 性 。 


1.1 计算 机 网 络 的 发 展 和 应 用 


计算 机 技术 与 通信 技术 相 结合 ， 使 计算 机 网 络 技术 得 以 产生 和 发 展 。 

1. 网 络 技术 的 发 展 

最 初 的 计算 机 网 络 是 一 台 主 机 通过 导线 连接 若干 个 远程 的 终端 ， 这 种 网 络 称 为 面向 终 
端的 计算 机 通信 网 。 它 是 以 单个 主机 为 中 心 的 星 形 网 ， 效 率 不 高 ， 功 能 有 限 。 这 就 是 第 一 
代 网 络 。 

1969 年 12 月 在 美国 诞生 了 阿 帕 网 络 (ARPANET) ， 它 以 通信 子 网 为 中 心 ， 许 多 主机 
和 终端 设备 在 通信 子 网 的 外 围 构成 一 个 用 户 资 源 子 网 ， 通 信子 网 不 再 使 用 电话 通信 的 电路 
交换 方式 ， 而 采用 了 数据 通信 的 分 组 交换 方式 ， 大 大 提高 了 通信 效率 ， 降 低 了 通信 费用 。 
这 就 是 第 二 代 计 算 机 网 络 。 
际 标准 化 组 织 (ISO ) 于 1977 年 提出 了 著名 的 开放 系统 互 连 参考 模型 , 简称 OSURM， 
从 此 以 后 ， 就 开 成 了 第 三 代 计算 机 网 络 ， 其 中 ， 最 引 人 注 目的 就 是 Intemet 的 飞速 发 展 。 

进入 20 世纪 90 年 代 , 计 算 机 网 络 的 发 展 更 加 迅速 , 出 现 了 宽带 综合 业务 数字 网 (B-ISDN)， 
这 就 是 第 四 代 计 算 机 网 络 。 

我 国 在 1989 年 建成 第 一 个 用 于 数据 通信 的 公用 分 组 交换 网 ，1993 年 建成 新 的 覆盖 全 
国 的 中 国 公用 分 组 交换 网 (CHINAPAC) ， 同 年 3 月 ， 我 国 启动 金桥 工程 、 金 卡 工程 、 金 
关 工 程 等 一 系列 “ 金 ” 字 工程 ， 计 算 机 网 络 是 这 些 工程 中 的 重要 组 成 部 分 。1995 年 邮电 部 
投资 建成 中 国 公 用 计算 机 互联 网 CCHINANET) ， 提 供 Intemet 业务 。 
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2. 网 络 技术 的 应 用 

计算 机 网 络 通常 应 用 于 以 下 几 个 方面 。 

1) 数据 通信 

它 使 分 布 在 不 同位 置 的 计算 机 与 计算 机 可 以 进行 通信 ， 互 相传 送 数据 ， 方 便 地 进行 信 
息 交 换 。 例 如 ， 使 用 电子 邮件 、 视 频 会 议 等 。 

2) 资源 共享 

这 是 计算 机 网 络 最 具有 吸引 力 的 功能 ， 在 网 络 范围 内 ， 用 户 可 以 共享 软件 、 硬 件 、 数 
据 等 资源 ， 而 不 必 考虑 用 户 以 及 资源 所 在 的 位 置 。 

3) 实现 分 布 式 计算 

由 于 有 了 计算 机 网 络 ， 许 多 大 型 信息 处 理 问 题 可 以 借助 于 分 散在 网 络 中 的 多 台 计 算 机 
协同 完成 ， 解 决 单机 无 法 完成 的 信息 处 理 任 务 。 特 别 是 分 布 式 数据 库 管理 系统 ， 它 使 分 散 
存储 在 网 络 不 同系 统 中 的 数据 ， 使 用 时 好 像 集中 存储 和 集中 管理 那样 方便 。 

4) 提高 计算 机 系统 的 可 靠 性 和 可 用 性 

网 络 中 的 计算 机 可 以 互 为 后 备 ， 一 旦 某 台 计算 机 出 现 故 障 ， 它 的 任务 可 由 网 中 其 他 计 
算 机 取而代之 。 当 网 中 计算 机 负 蓓 过 重 时 , 网 络 可 将 新 任务 分 配给 较 空 闪 的 计算 机 去 完成 ， 
提高 了 每 台 计 算 机 的 可 用 性 。 


1.2 网络 安全 所 面临 的 挑战 


计算 机 网 络 的 出 现 ， 从 很 大 程度 上 改变 了 人 们 进行 信息 交流 的 方式 ， 以 前 需要 大 量 书 
信用 很 长 时 间 才 能 解决 的 问题 , 今天 可 以 通过 电子 信息 来 迅速 解决 , 不 但 大 大 降低 了 成 本 ， 
而 且 效 率 得 到 了 很 大 的 提高 。 当 然 ， 计 算 机 网 络 在 带 给 方便 、 高 效 的 同时 ， 也 存在 一 定 程 
度 上 的 安全 问题 ， 需 要 认真 对 待 ， 否 则 ， 我 们 可 能 会 蒙受 各 种 程度 的 损失 。 


1.2.1 网 络 内 部 安全 挑战 


网 络 内 部 安全 挑战 是 指 内 部 人 员 因 工作 需要 或 者 外 部 人 员 因 有 机 会 直接 在 一 个 特定 网 
络 内 部 进行 操作 而 造成 的 安全 威胁 。 
1. 网络 硬件 安全 挑战 
网 络 硬件 安全 挑战 是 指 因为 计算 机 网 络 的 硬件 设备 故障 所 造成 的 安全 问题 。 网 络 硬件 
设备 是 计算 机 网 络 正 常 使 用 的 基础 ， 要 让 计算 机 网 络 正常 、 稳 定 、 高 效 运行 ， 那 么 合理 选 
择 硬 件 设备 、 合 理 规 划 并 搭建 网 络 系统 、 正 确 配置 运行 参数 都 是 必 不 可 少 的 。 好 在 随 着 计 
算 机 技术 和 网 络 技术 的 不 断 发 展 和 进步 ， 计 算 机 网 络 硬件 设备 本 身 的 稳定 性 和 可 靠 性 都 有 
了 很 大 程度 的 提高 ， 发 生 故 障 的 几率 已 经 很 小 了 ， 目 前 的 挑战 主要 是 如 何 合理 规划 并 搭建 
网 络 以 及 正确 配置 网 络 硬件 的 运行 参数 了 , 这 两 项 对 于 一 个 大 型 的 网 络 系统 是 至 关 重 要 的 。 
2. 网 络 软件 安全 挑战 
网 络 软件 安全 挑战 是 指 系统 中 所 安装 和 使 用 的 软件 没 能 提供 预定 功能 或 者 提供 了 错误 
的 功能 。 其 中 最 明显 的 例子 就 是 操作 系统 ， 操 作 系统 应 该 提供 一 个 安全 的 操作 环境 ， 因 为 
各 个 方面 的 原因 可 能 使 操作 系统 存在 各 种 各 样 的 漏洞 。 同 样 数据 库 系统 也 是 一 样 ， 可 能 因 
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为 考虑 不 周 而 出 现 漏洞 ， 使 得 原本 安全 的 系统 变 得 不 安全 了 。 

病毒 程序 和 木马 程序 通常 是 附 在 正常 的 程序 或 者 文件 之 中 进行 传播 ， 它 们 所 提供 的 功 
能 是 客户 所 不 需要 的 ， 属 于 错误 的 功能 

3. 人 为 安全 挑战 

人 为 安全 挑战 分 为 两 种 类 型 ， 第 一 种 是 无 意 造成 的 安全 威胁 ， 第 二 种 是 有 意 造 成 的 安 
全 威胁 。 两 者 的 操作 结果 都 是 因 出 现 了 错误 的 操作 而 导致 不 希望 的 后 果 ， 但 前 者 不 是 操作 
者 本 意 的 表示 ， 比 如 操作 者 不 小 心 误 操 作 将 自己 计算 机 或 者 文件 服务 器 上 的 文件 删除 了 。 
而 后 者 正好 是 操作 者 本 意 的 表示 ， 比 如 离职 的 职员 出 于 对 公司 的 不 满 ， 将 自己 计算 机 或 者 
其 他 计算 机 上 的 有 用 文件 删除 了 。 
这 两 种 情况 虽然 结果 是 一 样 的 ， 但 是 性 质 却 是 完全 不 同 的 。 对 于 无 意 造成 的 安全 威胁 
相对 比较 容易 解决 ， 而 对 于 有 意 造 成 的 安全 威胁 需要 采取 多 种 措施 才能 有 较 好 的 效果 ， 这 
将 是 本 书 在 后 面 将 要 讨论 的 话题 。 


1.2.2 网络 外 部 安全 挑战 


网 络 外 部 安全 挑战 是 指 来 自 外 部 网 络 〈 外 部 网 络 是 指 除 了 用 户 可 控 的 局 部 网 络 以 外 的 
网 络 ， 如 Intemet 网 ) 的 安全 威胁 ， 包 括 两 种 情况 ， 一 种 是 在 使 用 网 络 服务 时 引入 的 安全 问 
题 ， 因 为 只 有 在 连接 网 络 并 使 用 网 络 服务 时 才 会 发 生 ， 所 以 称 为 被 动 攻击 ， 如 下 载 文件 资 
料 时 引入 病毒 、 木 马 等 有 害 程序 ， 另 一 种 是 来 自 外 部 的 黑客 攻击 ， 因 为 只 要 和 外 部 网 络 处 
于 连接 状态 ， 即 使 没有 进行 任何 操作 仍然 可 能 受到 攻击 ， 所 以 称 为 主动 攻击 ， 即 利用 系统 
安全 漏洞 非法 进入 计算 机 系统 进行 非法 操作 ， 如 破坏 系统 资源 或 者 窃取 资料 。 

1. 被 动 攻击 

被 动 攻击 的 特点 是 目标 性 不 明确 ， 在 攻击 发 生 之 前 并 没有 确定 某 个 具体 的 计算 机 为 目 
标 ， 只 是 把 有 害 程序 放置 在 一 个 特定 的 位 置 ， 通 常 是 一 个 网 站 上 ， 当 访问 者 访问 网 页 时 ， 
如 果 访 问 者 的 计算 机 安全 性 不 够 高 的 话 ， 有 害 程序 就 会 直接 下 载 到 访问 者 的 计算 机 上 ， 并 
在 适当 的 时 候 被 激活 ， 从 而 对 访问 者 计算 机 进行 非法 操作 。 也 有 的 将 有 害 程序 放置 在 网 页 
上 ， 然 后 引诱 访问 者 去 点 击 ， 从 而 将 有 害 程序 下 载 到 访问 者 的 计算 机 上 。 还 有 将 有 害 程序 
藏匿 在 资料 文件 中 ， 等 访问 者 下 载 资料 文件 的 同时 将 有 害 程序 一 起 下 载 。 

2. 主动 攻击 

主动 攻击 的 特点 是 具有 明确 的 目标 ， 通 常 使 用 的 方式 是 通过 扫描 工具 对 某 个 特定 的 网 
络 范围 进行 扫描 ， 对 扫描 得 到 的 计算 机 再 逐个 进行 试探 性 攻击 ， 找 出 安全 性 比较 弱 的 计算 
机 进行 攻击 ， 从 而 达到 破坏 目标 计算 机 系统 或 窃取 目标 计算 机 上 资料 的 目的 。 


1.3 网 络 安全 的 内 容 


网 络 安全 主要 包括 三 个 方面 的 内 容 ， 即 计算 机 安全 、 局 域 网 安全 以 及 广域网 安全 。 计 
算 机 是 网 络 中 的 一 个 非常 重要 的 组 成 部 分 ， 其 负责 存储 、 计 算 、 发 送 以 及 接收 数据 信息 
所 以 保证 计算 机 的 安全 是 网 络 安全 的 一 个 重点 。 除 了 要 保证 单 台 计算 机 的 安全 ， 还 要 考虑 
整个 网 络 系统 的 安全 ， 对 于 一 个 网 络 系统 ， 通 常 是 一 个 完整 的 系统 ， 其 中 某 些 部 分 出 现 问 
题 , 可 能 会 危及 整个 网 络 系统 的 安全 运行 .对 于 Intemet 网 的 使 用 也 存在 多 种 网 络 安全 问题 ， 
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需要 我 们 在 使 用 之 前 做 好 安全 防范 工作 ， 将 网 络 安全 风险 减 小 到 最 低 。 
1.3.1 计算 机 安全 


计算 机 安全 是 指 单 台 计算 机 范围 内 的 安全 ， 通 常 包括 系统 安全 和 数据 安全 两 个 方面 ， 
系统 安全 是 基础 ， 数 据 安全 是 目的 。 这 是 网 络 安全 最 基本 的 内 容 ， 没 有 计算 机 范围 内 的 安 
全 ， 也 就 不 可 能 有 网 络 范围 的 安全 。 

1.， 系统 安全 

系统 安全 是 指 计算 机 系统 能 够 正常 、 稳 定 、 高 效 地 提供 其 功能 。 系 统 安全 的 问题 来 自 
多 个 方面 ， 可 能 是 病毒 、 木 马 程序 、 黑 客 攻击 、 人 为 破坏 、 硬 件 故 障 等 。 具 体 体 现在 以 下 
几 个 方面 。 

(1) 补丁 安全 。 通 常 的 操作 系统 和 其 他 系统 软件 都 容易 出 现 安全 漏洞 ， 给 病毒 、 木 马 
程序 、 黑 客 等 以 可 乘 之 机 ， 注 意 随时 对 系统 进行 升级 并 尽 可 能 安装 最 新 的 补丁 程序 是 防止 
安全 漏洞 被 利用 的 最 有 效 方法 。 

(2) 配置 安全 。 包 括 系统 中 账户 的 建立 、 密 码 的 设置 、 注 册 表 访问 权限 的 控制 、 控 制 
面板 访问 权限 的 管理 以 及 文件 系统 的 安全 配置 等 ， 通 过 对 系统 自身 的 安全 系统 进行 合理 的 
配置 ， 可 以 大 大 提高 系统 的 安全 性 。 

(3) 系统 备份 。 系统 的 安全 威胁 是 来 自 多 个 方面 的 ， 只 要 一 个 方面 没有 考虑 到 就 可 能 
影响 系统 的 正常 运行 ， 甚 至 使 系统 停止 运行 。 如 果 重 新 配置 系统 需要 很 长 的 时 间 ， 最 有 效 
的 方法 就 是 有 计划 地 对 系统 进行 备份 , 在 必要 的 时 候 通过 恢复 备份 的 方式 来 解决 系统 问题 。 

(4) 杀毒 。 计 算 机 病毒 和 木马 程序 是 威胁 计算 机 系统 安全 的 两 个 至 关 重 要 的 因素 ， 因 
为 病毒 和 木马 程序 通常 都 是 隐藏 在 后 台 ， 不 易 被 发 现 ， 只 有 遭 到 破坏 以 后 才 会 被 发 现 ， 而 
且 两 者 的 破坏 性 都 可 能 很 大 ， 所 以 对 病毒 和 木马 程序 的 防范 决 不 能 掉以轻心 。 

2. 数据 安全 

数据 安全 是 指 用 户 存储 在 计算 机 上 的 数据 信息 不 被 非法 查看 、 修 改 、 移 动 和 删除 。 数 
据 安全 威胁 主要 来 自 三 个 方面 ， 一 方面 是 系统 安全 被 突破 以 后 带 来 的 数据 安全 威胁 ;第 二 
方面 是 人 为 操作 带 来 的 数据 安全 威胁 ， 第 三 方面 是 硬件 故障 带 来 的 数据 安全 威胁 。 要 做 好 
数据 安全 工作 ， 必 须 同时 注意 到 这 三 个 方面 的 威胁 。 具 体 体现 在 以 下 几 个 方面 。 

(1) 文件 安全 。 对 计算 机 上 的 文件 操作 进行 监控 审计 ， 对 文件 操作 进行 记录 ， 并 对 必 
要 的 文件 提供 自动 备份 和 恢复 的 功能 ， 以 便 审计 时 及 时 发 现 和 找 出 非法 文件 操作 的 原因 ， 
及 时 采取 措施 防止 非法 的 文件 操作 造成 文件 资料 的 泄密 、 破 坏 ， 提 高 文件 安全 性 。 

(2) 外 设 接口 安全 。 计 算 机 提供 多 种 接口 是 为 了 使 用 上 的 方便 ， 但 是 如 果 没 有 合理 的 
规划 和 管理 ， 这 些 接口 可 能 成 为 数据 安全 的 一 大 隐患 。 特 别 是 具有 将 计算 机 上 的 数据 拷贝 
带 出 的 接口 ， 如 软驱 、 刻 录 机 、 打 印 机 、USB 接口 的 存储 设备 等 。 

(3) 打印 安全 。 打 印 文件 是 日 常 工作 和 生活 中 常见 的 一 件 事情 , 但 是 如 果 有 人 将 不 应 
该 打印 的 重要 文件 资料 打印 出 来 带 到 不 应 该 带 去 的 地 方 就 麻烦 了 ， 比 如 软件 源 代码 、 工 程 
项 目 文件 、 客 户 资料 等 。 

(4) 刻录 安全 。 刻 录 光盘 是 一 种 常用 的 系统 备份 或 者 数据 备份 方式 ， 最 重要 的 原因 是 
该 方式 简单 ， 而 且 成 本 很 低 。 但 是 如 果 没 有 合理 的 管理 ， 可 能 导致 非法 将 计算 机 中 的 文件 
进行 刻录 ， 从 而 导致 信息 泄密 。 
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(5) 操作 安全 。 自 己 和 别人 在 操作 计算 机 时 都 可 能 存在 误 操作 的 情况 ,而且 在 别人 操 
作 自己 计算 机 时 ， 并 不 能 保证 所 进行 的 操作 都 是 完全 合乎 自己 意愿 的 ， 所 以 需要 使 用 一 些 
监控 功能 ， 一 方面 监视 操作 过 程 ， 另 一 方面 防止 操作 者 进行 非法 操作 。 


1.3.2 局域网 安全 


局 域 网 安全 实际 上 就 是 计算 机 安全 再 加 上 局 域 网 内 计算 机 直接 的 相互 安全 影响 。 局 域 
网 安全 可 以 从 以 下 几 个 方面 来 理解 。 

(1) 网 络 物理 安全 。 网 络 的 物理 安全 主要 是 指 地 震 、 水 灾 、 火 灾 等 环境 事故 ， 电 源 故 
障 ， 人 为 操作 失误 或 错误 ， 设 备 被 盗 、 被 毁 ， 电 磁 干 扰 ， 线 路 截获 ， 以 及 高 可 用 性 的 硬件 、 
双 机 多 元 余 的 设计 、 机 房 环 境 及 报警 系统 、 安 全 意识 等 。 它 是 整个 网 络 系统 安全 的 前 提 ， 
制定 健全 的 安全 管理 制度 ， 做 好 备份 ， 并 且 加 强 网 络 设备 和 机 房 的 管理 ， 这 些 风 险 是 可 以 
避免 的 。 

(2) 网 络 平台 安全 。 网 络 结构 的 安全 涉及 到 网 络 拓扑 结构 、 网 络 路 由 状况 及 网 络 的 环 
境 等 。 安 全 的 应 用 往往 是 建立 在 网 络 系统 之 上 的 ， 网 络 系统 的 成 熟 与 否 直接 影响 安全 系统 
成 功 的 建设 。 

(3) 系统 安全 。 所 谓 系统 的 安全 显而易见 是 指 整个 局 域 网 网 络 操作 系统 、 网 络 硬件 平 
台 是 否 可 靠 且 值得 信任 。 没有 完全 安全 的 操作 系统 , 但是, 我 们 可 以 通过 对 操作 平台 进行 
安全 配置 ， 对 操作 和 访问 权限 进行 严格 控制 ， 来 提高 系统 的 安全 性 ， 不 但 要 选用 尽 可 能 可 
靠 的 操作 系统 和 硬件 平台 ， 而 且 必 须 加 强 登 录 过 程 的 认证 (特别 是 在 到 达 服 务 器 主机 之 前 
的 认证 ) ， 确 保 用 户 的 合法 性 。 其 次 应 该 严格 限制 登录 者 的 操作 权限 ， 将 其 完成 的 操作 限 
制 在 最 小 的 范围 内 。 

(4) 应 用 安全 。 应 用 系统 的 安全 跟 具 体 的 应 用 有 关 ， 它 涉及 很 多 方面 。 应 用 系统 的 安 
全 是 动态 的 、 不 断 变化 的 ， 应 用 的 安全 性 也 涉及 到 信息 的 安全 性 ， 它 包括 很 多 方面 。 应 用 
的 安全 性 涉及 到 信息 、 数 据 的 安全 性 ， 信 息 的 安全 性 涉及 到 机 密 信息 泄露 、 未 经 授权 的 访 
问 、 破 坏 信息 完整 性 、 假 冒 、 破 坏 系统 的 可 用 性 等 。 对 于 有 些 特别 重要 的 信息 需要 对 内 部 
进行 保密 的 〈 比 如 领导 子 网 、 财 务 系统 传递 的 重要 信息 ) ， 可 以 考虑 在 应 用 级 进行 加 密 ， 
针对 具体 的 应 用 直接 在 应 用 系统 开发 时 进行 加 密 。 

(5) 管理 安全 。 管 理 是 网 络 安全 中 最 重要 的 部 分 。 责 权 不 明 ， 管 理 混乱 、 安 全 管理 制 
度 不 健全 及 缺乏 可 操作 性 等 都 可 能 引起 管理 安全 的 风险 。 责 权 不 明 ， 管 理 混乱 ， 使 得 一 些 
员工 或 管理 员 随 便 让 一 些 非 本 地 员工 甚至 外 来 人 员 进 入 机 房 重地 ， 或 者 员工 有 意 无 意 泄露 
他 们 所 知道 的 一 些 重要 信息 ， 而 管理 上 却 没有 相应 制度 来 约束 。 建 立 全 新 网 络 安全 机 制 ， 
必须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 ， 因 此 ， 最 可 行 的 做 法 是 管理 制度 和 管理 解决 
方案 的 结合 。 

(6) 不 满 的 内 部 员工 。 不 满 的 内 部 员工 可 能 在 WWW 站 点 上 开 些 小 玩笑 ， 甚 至 搞 破 
坏 。 不 论 如 何 ， 他 们 最 熟悉 服务 器 、 小 程序 、 脚 本 和 系统 的 弱点 。 对 于 已 经 离职 的 不 满员 
工 ,可 以 通过 定期 改变 口令 和 删除 系统 记录 以 减少 这 类 风险 。 但 还 有 心怀 不 满 的 在 职员 工 ， 
这 些 员工 比 已 经 离开 的 员工 能 造成 更 大 的 损失 ， 例 如 他 们 可 以 传 出 至 关 重 要 的 信息 、 泄 露 
安全 重要 信息 、 错 误 地 进入 数据 库 、 删 除数 据 等 等 。 
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1.3.3 ”广域网 安全 


广域网 安全 是 指 因 使 用 建立 在 Intemet 网 基础 上 的 服务 而 造成 的 安全 威胁 。 使 用 的 
Internet 服务 是 指使 用 网 络 上 其 他 计算 机 所 提供 的 服务 或 者 向 其 他 计算 机 提供 服务 , 如 电子 
邮件 、WWW 服务 、FTP 服务 、 点 对 点 通信 。 

1. 公开 服务 器 面临 的 威胁 

公开 服务 器 (WWW、EMAIL 等 服务 器 ) 作为 对 外 信息 发 布 平台 ， 一 旦 不 能 运行 或 者 
受到 攻击 ， 对 企业 的 声誉 影响 巨大 。 同 时 公开 服务 器 本 身 要 为 外 界 服务 ， 必 须 开 放 相 应 的 
服务 ; 每 天 ， 黑客 都 在 试图 闻 入 Intemet 节点 ， 这 些 节点 如 果 不 保 持 警惕 ， 可 能 连 黑客 怎么 
闻 入 的 都 不 知道 ， 甚 至 会 成 为 黑客 入 侵 其 他 站 点 的 跳板 。 因 此 ， 规 模 比 较 大 的 网 络 管理 人 
员 对 Interet 安全 事故 做 出 有 效 反应 变 得 十 分 重要 。 我 们 有 必要 将 公开 服务 器 、 内 部 网 络 与 
外 部 网 络 进行 隔离 ， 避 免 网 络 结构 信息 外 泄 ， 同 时 还 要 对 外 网 的 服务 请 求 加 以 过 滤 ， 只 多 
许 正常 通信 的 数据 包 到 达 相 应 主机 ， 其 他 请 求 服务 在 到 达 主 机 之 前 就 应 该 遭 到 拒绝 。 

2. 黑客 攻击 

黑客 们 的 攻击 行动 是 无 时 无 刻 不 在 进行 的 ， 而 且 会 利用 系统 和 管理 上 的 一 切 可 能 利用 
的 漏洞 。 公 开 服 务 器 存在 漏洞 的 一 个 典型 例证 ， 是 黑客 可 以 轻易 地 骗 过 公开 服务 器 软件 ， 
得 到 UNIX 的 口令 文件 并 将 之 送 回 。 黑 客 侵入 UNIX 服务 器 后 ， 有 可 能 修改 特权 ， 从 普通 
用 户 变 为 高 级 用 户 ， 一 旦 成 功 ， 黑 客 可 以 直接 进入 口令 文件 。 黑 客 还 能 开发 欺骗 程序 ， 将 
其 装 入 UNIX 服务 器 中 ， 用 以 监听 登录 会 话 。 当 它 发 现 有 用 户 登 录 时 ， 便 开始 存储 一 个 文 
件 ， 这 样 黑客 就 拥有 了 他 人 的 账户 和 口令 。 这 时 为 了 防止 黑客 ， 需 要 设置 公开 服务 器 ， 使 
得 它 不 离开 自己 的 空间 而 进入 另外 的 目录 。 另 外 ， 还 应 设置 组 特权 ， 不 允许 任何 使 用 公开 
服务 器 的 人 访问 WWW 页 面 文件 以 外 的 东西 。 在 这 个 企业 的 局 域 网 内 我 们 可 以 综合 采用 防 
火 墙 技术 、Web 页 面 保护 技术 、 入 侵 检测 技术 、 安 全 评估 技术 来 保护 网 络 内 的 信息 资源 ， 
防止 黑客 攻击 。 

3. 通用 网 关 接口 (CGI) 漏洞 

有 一 类 风险 涉及 通用 网 关 接口 (CGI) 脚本 。 许 多 页 面 文件 和 指向 其 他 页 面 或 站 点 的 
超 链 接 。 然 而 有 些 站 点 用 到 这 些 超 链 接 所 指 站 点 寻找 特定 信息 。 搜 索引 擎 是 通过 CGI 脚本 
执行 的 方式 实现 的 。 黑 客 可 以 修改 这 些 CGI 脚本 以 执行 他 们 的 非法 任务 。 通 常 ， 这 些 CGI 
脚本 只 能 在 这 些 所 指 WWW 服务 器 中 寻找 ， 但 如 果 进 行 一 些 修改 ， 他 们 就 可 以 在 WWW 
服务 器 之 外 进行 寻找 。 要 防止 这 类 问题 发 生 ， 应 将 这 些 CGI 脚本 设置 为 较 低级 用 户 特权 。 
提高 系统 的 抗 破坏 能 力 ， 提 高 服务 器 备份 与 恢复 能 力 ， 提 高 站 点 内 容 的 防 自 改 与 自动 修复 
能 力 。 

4. 恶意 代码 

恶意 代码 不 限于 病毒 ， 还 包括 蠕虫、 特洛伊 森马、 逻辑 炸弹 和 其 他 未 经 同意 的 软件 。 
应 该 加 强 对 恶意 代码 的 检测 。 

5. 病毒 的 攻击 

计算 机 病毒 一 直 是 计算 机 安全 的 主要 威胁 。 能 在 Intemet 上 传播 的 新 型 病毒 , 例如 通过 
E-mail 传播 的 病毒 ， 增 加 了 这 种 威胁 的 程度 。 病 毒 的 种 类 和 传染 方式 也 在 增加 ， 国 际 空间 
的 病毒 总 数 已 达 上 万 甚至 更 多 。 当 然 ， 查 看 文档 、 浏 览 图 像 或 在 Web 上 填 表 都 不 用 担心 病 
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感染 ， 然 而 ， 下 载 可 执行 文件 和 接收 来 历 不 明 的 E-mail 文件 需要 特别 警惕 ， 否 则 很 容易 
使 系统 导致 严重 的 破坏 。 由 型 的 CH 病毒 就 是 一 可 怕 的 例子 。 

6. 网 络 的 攻击 手段 

一 般 认 为 ， 目 前 对 网 络 的 攻击 手段 主要 表现 在 以 下 几 个 方面 。 

非 授权 访问 : 没有 预先 经 过 同意 ， 就 使 用 网 络 或 计算 机 资源 被 看 作 非 授权 访问 ， 如 有 
意 避 开 系 统 访问 控制 机 制 ， 对 网 络 设备 及 资源 进行 非 正常 使 用 ， 或 擅自 扩大 权限 ， 越 权 访 
问 信息 。 它 主要 有 以 下 几 种 形式 : 假冒 、 身 份 攻击 、 非 法 用 户 进入 网 络 系统 进行 违法 操作 、 
合法 用 户 以 未 授权 方式 进行 操作 等 。 

言 息 泄露 或 丢失 : 指 敏 感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 ， 它 通常 包括 ， 信 息 
在 传输 中 丢失 或 泄露 (如 黑客 利用 电磁 泄漏 或 搭 线 窃听 等 方式 可 截获 机 密 信息 ， 或 通过 对 
信息 流向 、 流 量 、 通 信 频 度 和 长 度 等 参数 的 分 析 ， 推 出 有 用 信息 ， 如 用 户口 令 、 账 号 等 重 
要 信息 。) ， 信 息 在 存储 介质 中 丢失 或 泄露 ， 通 过 建立 隐蔽 隧道 等 窃取 敏感 信息 等 。 

破坏 数据 完整 性 ;以 非法 手段 窃 得 对 数据 的 使 用 权 ， 删 除 、 修 改 、 插 入 或 重 发 某 些 重 
要 信息 ， 以 取得 有 益 于 攻击 者 的 响应 ; 恶意 添加 、 修 改 数据 ， 以 干扰 用 户 的 正常 使 用 。 

拒绝 服务 攻击 : 它 不 断 对 网 络 服务 系统 进行 干扰 ， 改 变 其 正常 的 作业 流程 ， 执 行 无 关 
程序 使 系统 响应 减 慢 甚 至 瘫痪 ， 影 响 正 常用 户 的 使 用 ， 甚 至 使 合法 用 户 被 排斥 而 不 能 进入 
计算 机 网 络 系统 或 不 能 得 到 相应 的 服务 。 

利用 网 络 传播 病毒 ， 通 过 网 络 传播 计算 机 病毒 ， 其 破坏 性 大 大 高 于 单机 系统 ， 而 且 用 
户 很 难 防范 。 


1.4 ”网 络 安全 问题 的 解决 思 


网 络 安全 问题 是 一 个 相当 复杂 性 的 问题 ， 涉 及 到 多 个 不 同 的 领域 ， 包 括 计算 机 硬件 技 
术 、 计 算 机 软件 技术 、 网 络 技术 、 通 信 技 术 以 及 管理 技术 等 ， 要 解决 好 网 络 安全 问题 ， 唯 
有 从 技术 和 管理 两 方面 同时 着 手 ， 才 能 切实 有 效 地 解决 问题 。 

1.4.1 技术 角度 

要 有 效 地 解决 网 络 安全 问题 ， 就 技术 上 来 讲 ， 必 须 有 一 套 完整 的 解决 方案 才 行 。 下 面 

3 些 基 本 内 容 作 一 些 简 要 说 明 。 
.网 络 信息 安全 系统 设计 原则 

as 

(2) 需求 、 风 险 、 代 价 平衡 的 原则 ; 

(3) 综合 性 、 整 体 性 原则 ; 

(4) 可 用 性 原则 ; 

(5) 分 步 实施 原则 。 

目前 ， 对 于 新 建 网 络 及 已 投入 运行 的 网 络 ， 必 须 尽 快 解决 网 络 的 安全 保密 问题 ， 设 计 
时 应 遵循 如 下 思想 : 

(1) 提高 系统 的 安全 性 和 保密 性 ; 

(2) 保持 网 络 原 有 性 能 特点 ， 即 对 网 络 的 协议 和 传输 具有 很 好 的 透明 性 ; 


_ 
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(3) 易于 操作 、 维 护 ， 并 便于 自动 化 管理 ， 而 不 增加 或 少 增加 附加 操作 ; 

(4) 尽量 不 影响 原 网 络 拓扑 结构 ， 便 于 系统 及 系统 功能 的 扩展 ; 

(5) 安全 保密 系统 具有 较 好 的 性 能 价格 比 ， 一 次 性 投资 ， 可 以 长 期 使 用 ; 

(6) 安 全 与 密码 产品 具有 合法 性 , 并 便于 安全 管理 单位 与 密码 管理 单位 的 检查 与 监督 。 

2. 网 络 信息 安全 系统 设计 步骤 

(1) 网 络 安全 需求 分 析 ; 

(2) 确立 合理 的 目标 基线 和 安全 策略 ; 

(3) 明确 准备 付出 的 代价 ; 

(4) 制定 可 行 的 技术 方案 ; 

(5) 工程 实施 方案 (产品 的 选 购 与 定制 ); 

(6) 制定 配套 的 法 规 、 条 例 和 管理 办 法 。 

3. 网 络 信息 安全 解决 方案 

下 面 主要 从 网 络 安全 需求 上 进行 分 析 ， 并 基于 网 络 层次 结构 ， 提 出 不 同 层次 与 安全 强 
度 的 网 络 信息 安全 解决 方案 。 

1) 防火 墙 

防火 墙 是 企业 局 域 网 到 Intemet 的 唯一 出 口 , 所 有 的 访问 都 将 通过 防火 墙 进行 , 防火墙 
能 够 有 效 地 保护 局 域 网 。 防 火 墙 既 能 保证 提供 正常 的 服务 ， 又 能 有 效 地 保护 服务 器 不 受 攻 
击 。 

2) 入 侵 检 测 系 统 

入 侵 检 测 系统 能 够 有 效 地 检测 各 种 类 型 的 攻击 ， 通 过 在 网 络 中 不 同 的 位 置 放置 (比如 
内 网 、 网 络 引擎 ) ， 可 与 中 心 数据 库 进行 通信 ， 获 得 安全 策略 ， 存 储 警 报信 息 ， 并 针对 入 
侵 启 动 相应 的 动作 。 管 理 员 可 在 网 络 中 的 多 个 位 置 访问 网 络 引 擎 ， 对 入 侵 检测 系统 进行 监 
控 和 管理 。 

3) 网 络 隐患 扫描 系统 

网 络 隐 患 扫描 系统 能 够 扫描 网 络 范围 内 的 所 有 支持 TCP / IP 协议 的 设备 ， 扫 描 的 对 象 
包括 扫描 多 种 操作 系统 ， 扫 描 网 络 设备 包括 服务 器 、 工 作 站 、 防 火 墙 、 路 由 器 和 路 由 交换 
机 等 。 在 进行 扫描 时 ， 可 以 从 网 络 中 不 同 的 位 置 对 网 络 设备 进行 扫描 。 扫 描 结束 后 生成 详 
细 的 安全 评估 报告 ， 采 用 报表 和 图 形 的 形式 对 扫描 结果 进行 分 析 ， 可 以 方便 直观 地 对 用 户 
进行 安全 性 能 评估 和 检查 。 

4) 网 站 监测 与 恢复 系统 

在 Web 服务 器 上 放置 网 站 实时 监控 系统 服务 器 ， 用 于 监控 网 页 是 否 被 非法 改动 。 网 站 
监控 系统 的 备份 服务 器 和 文件 上 传 放置 在 局 域 网 内 部 ， 既 能 恢复 被 非法 算 改 的 主页 ， 又 能 
受 防 火 墙 的 有 效 保护 而 不 受 攻击 。 同 时 在 公 网 上 也 可 配置 文件 上 传 服务 器 ， 用 于 更 新 网 页 
内 容 。 

5) 网 络 防 病毒 

保护 整个 网 络 免 受 病毒 侵害 ， 保 证 网 络 系统 中 信息 的 可 用 性 ， 构 建 从 主机 到 服务 器 的 
完善 的 防 病毒 体系 。 以 服务 器 作为 网 络 的 核心 ， 通 过 派发 的 形式 对 整个 网 络 部 署 查 、 杀 毒 。 

6) 数据 加 密 及 传输 安全 

通过 VPN 技术 ， 提 高 各 级 子 网 间 的 信息 (如 电子 公文 ，MAIL…) 传输 过 程 中 的 保密 
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性 和 安全 性 。 
除了 上 述 几 个 方面 以 外 ， 再 加 上 计算 机 安全 监控 系统 和 内 网 安全 监控 系统 ， 就 可 以 构 
成 一 个 完整 的 安全 解决 方案 了 ， 可 以 大 大 提高 网 络 信息 系统 的 安全 性 。 


1.4.2 ”管理 角度 


从 管理 角度 解决 网 络 安全 问题 ,首先 要 加 强 信息 安全 教育 , 提高 全 体 人 员 的 安全 意识 ， 
建立 、 健 全 安全 操作 规范 、 安 全 保密 制度 ， 积 极 培养 网 络 安全 专门 人 才 ， 向 全 体 人 员 提 供 
一 定安 全 技术 和 技能 的 培训 。 总 体 上 讲 ， 可 以 遵循 如 下 思路 。 

(1) 整体 考虑 ， 统 一 规划 。 网 络 安全 取决 于 系统 中 最 薄弱 的 环节 。“ 一 点 突破 ， 全 网 
突破 ”， 单 个 系统 考虑 安全 问题 并 不 能 真正 有 效 地 保证 安全 ， 需 要 从 整体 IT 体系 层次 建立 
网 络 安全 架构 ， 整 体 考虑 ， 全 面 防护 。 

(2) 战略 优先 ， 合 理 保护 。 网 络 安全 工作 应 服从 组 织 信息 化 建设 总 体 战略 ， 滚 动 式 实 
现 系统 安全 体系 的 统一 。 在 此 前 提 之 下 ， 追 求 适度 安全 ， 合 理 保 护 组 织 信息 资产 ， 安 全 投 
入 与 资产 的 价值 应 相 匹配 。 

(3) 集中 管理 , 重点 防护 。 统筹 设 计 安全 总 体 架 构 ， 建立 规 范 、 有 序 的 安全 管理 流程 ， 
集中 管理 各 系统 的 安全 问题 ， 避 免 安 全 “孤岛 ”和 安全 “ 短 板 ”。 

(4) 七 分 管理 ， 三 分 技术 。 管 理 是 企业 网 络 安全 的 核心 ， 技 术 是 安全 管理 的 保证 。 只 
有 制定 完整 的 规章 制度 、 行 为 准则 并 和 安全 技术 手段 合理 结合 ， 网 络 系统 的 安全 才 会 有 最 
大 的 保障 。 


1.5 ”网络 安全 的 重要 性 


据 《2005 年 FBI 计算 机 犯罪 调查 》 显 示 ， 在 过 去 的 12 个 月 中 ，1324 家 机 构 〈 约 占 被 
调查 机 构 总 数 的 64% ) 都 因 计算 机 安全 事故 而 遭受 了 财务 损失 。 被 调查 机 构 总 共 损 失 了 3200 
万 美元 ， 平 均 每 家 机 构 的 成 本 超过 了 24000 美元 。 

美国 联邦 调查 局 (FBI ) 称 ， 应 对 病毒 、 间 谍 软 件 、PC 窃贼 ， 以 及 其 他 与 计算 机 相关 
的 犯罪 活动 每 年 给 美国 企业 造成 了 672 亿美 元 的 负担 ，FBI 根据 对 2066 家 机 构 的 调查 得 
出 了 这 一 结果 。 但 是 ， 在 利用 这 一 调查 结果 估算 全 国 的 损失 时 ，FBI 将 受到 攻击 的 企业 比 
例 由 64% 下 调 到 了 更 为 保守 的 20%， 这 意味 着 至 少 有 280 万 家 美国 企业 曾经 遭受 过 一 次 
计算 机 安全 事故 ， 如 果 按 每 家 企业 每 年 平均 24000 美元 的 损失 计算 ， 这 就 会 给 美国 企业 每 
年 造成 672 亿美 元 的 损失 。 

PricewaterhouseCoopers 公司 在 2005 年 10 月 到 2006 年 1 月 期 间 ， 调 查 了 1000 家 左右 
的 企业 ， 该 调查 的 名 称 为 《DTI 信息 安全 事故 调查 》。 据 PricewaterhouseCoopers 顾问 公司 
受 英国 贸易 与 工业 部 委托 而 进行 的 一 项 调查 的 结果 显示 ， 预 计 去 年 由 于 计算 机 病毒 、 间 谍 
软件 、 黑 客 攻 击 和 设备 盗窃 引发 的 安全 问题 令 英 国企 业界 在 去 年 损失 了 180 亿美 元 〈 约 合 
100 亿 英 镑 ) ， 这 一 水 平 与 两 年 前 相 比 增长 了 50% 左 右 。 

尽管 各 企业 花 在 信息 安全 控制 方面 的 投资 越 来 越 大 , 现在 平均 已 经 达到 公司 IT 预算 的 
4% 到 5%， 但 是 与 安全 问题 有 关 的 损失 仍然 在 不 断 增长 。 在 2004 年 的 时 候 ， 各 企业 在 信 
息 安 全 控制 方面 的 投资 平均 占 各 自 IT 预算 的 3% 左 右 。 
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根据 《中 国 大 陆地 区 2005 年 度 电脑 病毒 疫情 与 网 络 安全 报告 》《〈 以 下 简称 《报告 》) 
显示 ， 中 国 2005 年 截获 的 新 病毒 数量 达到 72836 个 ， 较 2004 年 翻 了 一 番 ， 其 中 90% 以 上 
带 有 明显 商业 利益 驱动 的 特征 ; 黑客 、 病 毒 和 流氓 软件 的 紧密 结合 已 逐渐 形成 清晰 的 “ 产 
业 链 条 ”， 而 正规 的 互联 网 公司 正 日 趋 成 为 黑客 和 流氓 软件 的 “第 一 推动 力 ”。 
公安 机 关 发 布 的 数据 统计 显示 ，2005 年 ， 国 内 处 理 的 网 络 安全 犯罪 近 3 万 起 ， 国 内 网 
民 因 为 网 络 安全 犯罪 而 造成 的 直接 损失 超过 1 亿 元。 银行 等 国内 金融 机 构成 为 网 络 诈骗 犯 
罪 高 发 的 “ 重 灾区 ”， 按 照 GDP 和 我 国 网 络 应 用 水 平 计算 ， 国 内 金融 系统 全 年 因 网 络 安全 
犯罪 造成 直接 经 济 损失 约 10 亿 元 人 民 币 。 而 据 综合 估 测 ， 中 国 2005 年 因 网 络 威胁 造成 的 
间接 损失 高 达 数 十 亿 元 。 

2004 年 5 月 , 某 大 型 企业 研发 中 心 发 现 某国 外 竞争 对 手 领先 一 步 完 成 了 A 产品 的 设计 
开发 ， 该 研发 中 心 领 导 一 下 就 异 了 。A 产品 的 设计 开发 可 是 该 企业 重大 研发 项 目 ， 该 企业 
也 想 依托 A 产品 完成 产品 线 的 转换 ， 企 业 为 该 项 目 投入 了 大 笔 资金 ， 众 多 研发 人 员 也 付出 
了 艰辛 的 劳动 。 企 业 在 项 目 立项 及 开发 过 程 中 ， 还 从 未 听 说 有 哪 家 单位 也 在 进行 人 产品 的 
开发 ， 为 什么 竞争 对 手 开发 速度 如 此 之 快 ? 

情况 汇报 给 企业 老总 后 ， 老 总 第 一 反应 就 是 内 部 人 员 泄 密 ， 随 即 下 令 该 项 目 所 有 人 员 
停止 开发 ， 迅 速 离开 工作 岗位 ， 并 向 公安 部 门 报案 。 公 安 部 门 技术 人 员 到 达 现 场 后 发 现 该 
研发 中 心 保密 工作 存在 重大 玻 漏 : 设计 人 员 电 脑 与 普通 工作 人 员 电 脑 连 在 同一 个 局 域 网 内 、 
计算 机 端口 允许 人 员 将 资料 随意 拷 出 、 设 计 人 员 将 某 些 机 密 文 件 设 成 共享 、 打 印 资料 随意 
带 出 、 所 有 电脑 都 可 以 上 互联 网 …… 经 过 检查 ， 公 安 部 门 初步 判定 为 内 部 人 员 泄密 ， 但 是 
要 查 出 谁 将 资料 泄密 ， 难 度 太 大 。 最 终 该 案 不 了 了 之 ， 企 业 也 只 能 对 研发 中 心 领 导 进行 降 
职 处 罚 , 该 企业 为 此 付出 了 1000 余万元 研发 费用 , 众多 研发 人 员 的 辛勤 劳动 全 部 付 诸 东 流 。 

以 上 仅仅 是 众多 信息 安全 事件 中 的 一 个 罢了 ， 所 造成 的 巨大 损失 主要 原因 是 没有 重视 
网 络 信息 安全 ， 更 没有 采取 有 效 措 施 来 防范 网 络 信息 安全 所 面临 的 各 种 安全 威胁 。 反 思 该 
企业 的 惨痛 教训 ， 我 们 应 当 引 以 为 戒 ， 切 实 做 好 安全 保密 工作 ， 防 范 机 密 资 料 外 泄 ， 同 时 
也 应 当 认识 到 保密 工作 也 是 增加 企业 价值 的 重要 工作 内 容 。 


i 


1.6 ”网络 安全 的 紧迫 性 


今年 6 月 ， 公 安 部 公共 信息 网 络 安全 监察 局 对 我 国 2005 年 5 月 至 2006 年 5 月 发 生 的 
网 络 安全 事件 和 安全 管理 中 存在 的 问题 进行 了 调查 ，25 日 发 布 了 2006 年 全 国信 息 网 络 安 
全 状况 与 计算 机 病毒 疫情 调查 报告 。 

调查 报告 显示 ， 在 被 调查 的 13,000 多 家 单位 中 ，54% 的 被 调查 单位 发 生 过 信息 网 络 安 
全 事件 ， 比 去 年 上 升 5 %， 其 中 发 生 过 3 次 以 上 的 占 22%， 比 去 年 上 升 7 %。 感 染 计 算 机 
病毒 、 里 虫 和 木马 程序 仍然 是 最 突出 的 网 络 安全 情况 ， 占 发 生 安全 事件 总 数 的 84% ，“ 遭 
到 端口 扫描 或 网 络 攻 击 ” 和 “垃圾 邮件 ”分 别 占 36% 和 35%。 

在 发 生 的 安全 事件 中 ， 攻 击 或 传播 源 来 自 外 部 的 占 50%， 比 去 年 下 降 7 %; 内 外 部 均 
有 的 占 34.5%， 比 去 年 上 升 10.5% 。73% 的 安全 事件 是 由 于 未 修补 或 防范 软件 漏洞 所 导致 。 

金融 证 券 行业 发 生 网 络 安全 事件 的 比例 最 低 ， 商 业 贸 易 、 制 造 业 、 广 电 和 新 闻 、 教 育 
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科研 、 互 联网 和 信息 技术 等 行业 发 生 网 络 安全 事件 的 比例 较 高 。 网 络 用 户 的 安全 防范 意识 
在 不 断 增强 并 切实 采取 了 措施 。 

从 调查 报告 的 内 容 可 以 看 出 ， 网 络 安全 问题 时 刻 威胁 着 我 们 ， 同 时 网 络 安全 工作 也 是 
一 个 任 重 而 道 远 的 工作 ， 需 要 我 们 不 断 加 强 安全 意识 ， 积 极 采 取 各 种 安全 措施 ， 不 断 完善 
和 提高 网 络 安全 技能 和 技巧 ， 尽 量 减少 网 络 安全 事件 的 发 生 ， 对 已 经 发 生 的 网 络 安全 事件 
进行 及 时 处 理 ， 将 损失 降低 到 最 小 。 


ln 


习题 


简要 叙述 网 络 安全 所 面临 的 挑战 。 
简 述 网 络 安全 的 内 容 。 

简 述 网 络 安全 问题 的 解决 思路 。 
简 述 网 络 安全 的 重要 性 和 紧迫 性 。 


上 mm ID 一 
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教学 提示 

在 网 络 安全 的 世界 中 , 计算 机 病毒 一 直 给 我 们 造成 了 非常 大 的 危害 , 近 的 如 “冲击 波 ”、 
“震荡 波 ”病毒 ， 较 远 的 有 CIH、“ 红 色 代 码 ” 等 病毒 。 计 算 机 病毒 的 重要 特征 是 发 展 迅 
速 、 种 类 繁多 、 玻 坏 性 强 ， 所 以 做 好 计算 机 病毒 防范 工作 具有 重要 的 意义 。 

要 做 到 有 效 防 范 计 算 机 病毒 ， 需 要 对 计算 机 病毒 本 身 以 及 计算 机 病毒 的 防范 措施 有 一 
个 更 加 深入 的 了 解 。 本 章 将 对 计算 机 病毒 的 定义 、 发 展 、 特 点 、 表 现 、 危 害 以 及 防范 技术 
等 内 容 进 行 讲解 ， 帮 助 读 者 建立 对 计算 机 病毒 的 正确 认识 ， 通 过 各 种 有 效 的 计算 机 病毒 防 
范 措 施 以 达到 防止 计算 机 病毒 破坏 ， 保 护 计算 机 系统 安全 以 及 数据 安全 的 目的 。 

通过 对 本 章 的 学 习 ， 应 对 计算 机 病毒 的 特点 、 危 害 、 防 范 意 识 以 及 防范 技能 等 方面 的 
认识 有 所 提高 ， 在 实际 的 工作 、 学 习 和 生活 中 有 效 防止 计算 机 病毒 的 破坏 ， 提 高 网 络 系统 
以 及 计算 机 系统 的 安全 性 。 
教学 重点 
计算 机 病毒 的 定义 ， 
计算 机 病毒 的 特点 。 


计算 机 病毒 的 表现 。 
计算 机 病毒 的 防范 技术 。 


2.1 计算 机 病毒 的 基本 概念 


计算 机 病毒 是 某 些 人 利用 计算 机 软 、 硬 件 所 固有 的 脆弱 性 ， 编 制 的 具有 特殊 功能 的 程 
序 。 它 能 通过 某 种 途径 潜伏 在 计算 机 存储 介质 〈 或 程序 ) 里 ， 当 达到 某 种 条 件 时 即 被 激活 ， 
它 用 修改 其 他 程序 的 方法 将 自己 的 精确 拷贝 或 者 可 能 演化 的 形式 放 入 其 他 程序 中 ， 从 而 感 
染 它们 ， 对 计算 机 资源 进行 破坏 。 
2.1.1 什么 是 计算 机 病毒 

计算 机 病毒 是 一 个 程序 ， 一 段 可 执行 码 。 计 算 机 病毒 有 独特 的 复制 能 力 。 计 算 机 病毒 
可 以 很 快 地 蔓延 ， 又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 文件 上 。 当 文件 被 复 
制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ， 它 们 就 随同 文件 一 起 蔓延 开 来 。 
除 复 制 能 力 外 ， 某 些 计算 机 病毒 还 有 其 他 一 些 共 同 特性 : 一 个 被 感染 的 程序 能 够 传送 
病毒 载体 。 当 你 看 到 病毒 载体 似乎 仅仅 表现 在 文字 和 图 象 上 时 ,它们 可 能 也 已 毁坏 了 文件 、 
再 格式 化 你 的 硬盘 驱动 或 引发 了 其 他 类 型 的 灾害 。 若 是 病毒 并 不 寄生 于 一 个 感染 程序 ， 它 
仍然 能 通过 占据 存储 空间 带 来 麻烦 ， 并 降低 计算 机 的 全 部 性 能 。 

可 以 从 不 同 角度 给 出 计算 机 病毒 的 定义 。 
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(1) 计算 机 病毒 是 通过 磁盘 、 磁 带 和 网 络 等 媒介 传播 扩散 ， 能 “传染 ” 其 他 程序 的 
程序 。 

(2) 计算 机 病毒 是 能 够 实现 自身 复制 且 借 助 一 定 的 载体 存在 的 具有 潜伏 性 、 传 染 性 和 
破坏 性 的 程序 。 

(3) 计算 机 病毒 是 一 种 人 为 制造 的 程序 ， 它 通过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 
〈 如 磁盘 、 内 存 ) 或 程序 里 ， 当 某 种 条 件 或 时 机 成 熟 时 ， 它 会 自生 复制 并 传播 ， 使 计算 
机 的 资源 受到 不 同 程度 的 破坏 等 等 。 

这 些 说 法 在 某 种 程度 上 说 明了 计算 机 病毒 的 某 些 特征 ， 只 是 不 够 全 面 和 具体 。1994 年 
2 月 18 日 , 我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 在 《条 
例 》 第 二 十 八条 中 明确 对 计算 机 病毒 下 了 定义 : “计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程 
序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 
指令 或 者 程序 代码 。” 此 定义 具有 规范 性 、 权 威 性 。 
2.1.2 计算 机 病毒 的 命名 
当 杀 毒 软件 发 现 计算 机 上 有 病毒 时 ， 通 常会 给 出 一 个 提示 窗口 ， 窗 口中 给 出 了 所 发 现 
病毒 的 相关 信息 。 杀 毒 软件 诺顿 发 现 病毒 时 的 提示 窗口 类 似 图 2-1 所 示 。 可 以 看 到 ， 病 毒 
名 称 为 BackdoorFormador， 要 了 解 这 个 名 称 所 代表 的 意思 ， 就 需要 了 解 计算 机 病毒 的 命名 
规则 。 


图 2-1 病毒 通知 

计算 机 病毒 很 多 ， 而 且 发 展 迅速 ， 所 以 反 病 毒 公司 为 了 方便 管理 ， 他 们 按照 病毒 的 特 
性 ， 将 病毒 进行 分 类 命名 。 虽 然 各 个 反 病 毒 公司 的 命名 规则 都 不 太一 样 ， 但 大 体 都 是 采用 
一 个 统一 的 命名 方法 来 命名 的 。 

一 般 格 式 : < 病毒 前 级 >.< 病 毒 名 >.< 病 毒 后 缀 > 。 

病毒 前 级 是 指 一 个 病毒 的 种 类 ， 是 用 来 区 别 病毒 的 种 族 分 类 的 。 不 同 种 类 的 病毒 ， 其 
前 级 也 是 不 同 的 。 比 如 常见 的 木马 病毒 的 前 缀 是 Trojan， 蠕 虫 病毒 的 前 缀 是 Worm。 

病毒 名 是 指 一 个 病毒 的 家 族 特征 ， 是 用 来 区 别 和 标识 病毒 家 族 的 ， 如 以 前 著名 的 CIH 
病毒 的 家 族 名 都 是 统一 的 CIH， 振 荡 波 蠕虫 病毒 的 家 族 名 是 Sasser。 

病毒 后 级 是 指 一 个 病毒 的 变种 特征 ， 是 用 来 区 别 具 体 某 个 家 族 病毒 的 某 个 变种 的 。 一 
般 都 采用 英文 中 的 26 个 字母 来 表示 ， 如 Worm.Sasserb 就 是 指 振荡 波 蠕 虫 病毒 的 变种 B 
因此 一 般 称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变种 B”。 如 果 该 病毒 变种 非常 多 ， 可 以 采 
用 数字 与 字母 混合 表示 变种 标识 。 

综 上 所 述 ， 一 个 病毒 的 前 级 对 我 们 快速 的 判断 该 病毒 属于 哪 种 类 型 的 病毒 是 有 非常 大 
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的 帮助 。 通 过 判断 病毒 的 类 型 ， 就 可 以 对 这 个 病毒 有 个 大 概 的 评估 。 而 通过 病毒 名 我 们 可 
以 利用 查找 资料 等 方式 进一步 了 解 该 病毒 的 详细 特征 。 病 毒 后 级 能 让 我 们 知道 现在 你 的 计 
算 机 所 感染 的 病毒 是 哪个 变种 ， 有 利于 寻找 对 应 的 解决 方法 。 
2.1.3 ”计算 机 病毒 的 分 类 

下 面 对 常 见 的 计算 机 病毒 种 类 进行 说 明 。 

1. 系统 病毒 

系统 病毒 的 前 级 为 Win32、PE、Win95、W32、W95 等 。 这 些 病毒 的 一 般 公 有 的 特性 
是 可 以 感染 Windows 操作 系统 的 *.exe 和 *.dll 文件 ， 并 通过 这 些 文件 进行 传播 。 如 CIH 
病毒 。 

2. 蠕虫 病毒 

蠕虫 病毒 的 前 级 是 Wonrm。 这 种 病毒 的 公有 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 
很 大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 病毒 邮件 , 阻塞 网 络 的 特性 。 比 如 冲击 波 (阻塞 网 络 )， 
小 邮差 〈 发 带 病毒 邮件 ) 等 。 

3. 木马 病毒 、 黑 客 病毒 

木马 病毒 其 前 级 是 Trojan， 黑 客 病毒 前 绥 名 一 般 为 Hack。 木 马 病毒 的 公有 特性 是 通过 
网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ， 然 后 向 外 界 泄露 用 户 的 信息 ， 而 黑客 病毒 则 有 
一 个 可 视 的 界面 ， 能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 、 黑 客 病毒 往往 是 成 对 出 现 的 ， 
即 木 马 病毒 负责 侵入 用 户 的 计算 机 ， 而 黑客 病毒 则 会 通过 该 木马 病毒 来 进行 控制 。 

现在 这 两 种 类 型 都 越 来 越 趋 向 于 整合 了 。 一 般 的 木马 如 QQ 消息 尾巴 木马 
TrojanQQ3344 ， 还 有 大 家 可 能 遇见 比较 多 的 针对 网 络 游戏 的 木马 病毒 如 
TrojanLMirPSW.60。 黑 客 程序 如 网 络 揣 雄 Hack.Nether.Client。 


提示 : 病毒 名 中 有 PSW 或 者 什么 PWD 之 类 的 一 般 都 表示 这 个 病毒 有 盗 取 密码 的 功能 


这 些 字 母 一 般 都 为 “密码 ”的 英文 “password” 的 缩写 。 


4. 脚本 病毒 

脚本 病毒 的 前 缀 是 Script。 脚本 病毒 的 公有 特性 是 使 用 脚本 语言 编写 , 通过 网 页 进行 传 
播 的 病毒 ， 如 红色 代码 (Script.Redlof) 。 脚 本 病毒 还 会 有 前 级 : VBS、JS (表明 是 何 种 脚 
本 编写 的 ， 其 中 VBS 表示 VBScript 脚步 语言 编写 ，JS 表示 JavaScript 脚本 语言 编写 ) ， 如 
欢乐 时 光 〈VBS.Happytime) 、 十 四 日 (Js.Fortnight.c.s) 等 。 

5. 宏 病毒 

其 实 宏 病 毒 也 是 脚本 病毒 的 一 种 ， 由 于 它 的 特殊 性 ， 因 此 在 这 里 单独 算 成 一 类 。 宏 病 
毒 的 前 级 是 Macro， 第 二 前 级 是 Word、Word97、Excel、Excel97 等 。 

(1) 只 感染 Word97 及 以 前 版 本 Word 文档 的 病毒 采用 Word97 作为 第 二 前 级 ， 格 式 
是 Macro.Word97。 

(2) 只 感染 Word97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 级 ， 格 式 是 
Macro.Word, 

(3) 只 感染 Excel97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel97 作为 第 二 前 级 ， 格 式 


是 Macro.Excel97。 
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(4) 凡是 只 感染 Excel97 以 后 版 本 Excel 文档 的 病毒 采用 Excel 作为 第 二 前 级 ， 格 式 
是 Macro.Excel。 

依 此 类 推 。 

该 类 病毒 的 公有 特性 是 能 感染 Office 系列 文档 ， 然 后 通过 Office 模板 进行 传播 ， 如 著 
名 的 美丽 莎 (Macro.Melissa) 。 

6. 后门 病 毒 

后 门 病毒 的 前 绥 是 Backdoor。 该 类 病毒 的 公有 特性 是 通过 网 络 传播 ， 给 系统 开 后 门 
给 用 户 计算 机 带 来 安全 隐患 。 如 很 多 朋友 遇 到 过 的 IRC 后 门 Backdoor.IRCBot 。 

7. 病毒 种 植 程序 病毒 

这 类 病毒 的 公有 特性 是 运行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ， 由 
释放 出 来 的 新 病毒 产生 破坏 。 如 : 冰河 播种 者 (Dropper.BingHe2.2C) 、MSN 射手 
(Dropper.Worm.Smibag) 等 。 

8. 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 级 是 Harm。 这 类 病毒 的 公有 特性 是 本 身 具有 好 看 的 图 标 来 诱惑 用 
户 单 击 ， 当 用 户 单 击 这 类 病毒 时 ， 病 毒 便 会 直接 对 用 户 计 算 机 产生 破坏 。 如 : 格式 化 C 盘 
(Harm formatC.f) 、 杀 手 命令 〈Harm.Command .Killer) 等 。 

9.， 玩笑 病毒 

玩笑 病毒 的 前 级 是 Joke， 也 称 恶作剧 病毒 。 这 类 病毒 的 公有 特性 是 本 身 具 有 好 看 的 图 
标 来 诱惑 用 户 单 击 ， 当 用 户 单 击 这 类 病毒 时 ， 病 毒 会 做 出 各 种 破坏 操作 来 吓 距 用 户 ， 其 实 
病毒 并 没有 对 用 户 计算 机 进行 任何 破坏 。 如 女 鬼 (Joke.Girlghost) 病毒 。 

10. 捆绑 机 病毒 

捆绑 机 病毒 的 前 绥 是 Binder。 这 类 病毒 的 公有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 程序 
将 病毒 与 一 些 应 用 程序 如 QQ、 正 捆绑 起 来 ， 表 面 上 看 是 一 个 正常 的 文件 ， 当 用 户 运行 这 
些 文件 时 ， 会 表面 上 运行 这 些 应 用 程序 ， 然 后 隐藏 运行 捆绑 在 一 起 的 病毒 ， 从 而 给 用 户 造 
成 危害 ， 如 捆绑 QQ 〈BinderQQPass.QQBin) 、 系 统 杀 手 〈Binder killsys) 等 。 

除了 上 述 的 类 型 以 外 还 有 其 他 的 ， 不 过 比较 少见 ， 所 以 在 此 不 一 一 列举 。 通 过 上 面 的 
介绍 ， 可 以 在 查 出 某 个 病毒 以 后 通过 以 上 所 说 的 方法 来 初步 判断 所 中 病毒 的 基本 情况 ， 尤 
其 是 在 杀毒 软件 无 法 杀 掉 病毒 的 情况 下 ， 通 过 病毒 名 称 更 容易 查找 相关 资料 。 


2.2 ”计算 机 病毒 的 特点 及 表现 现象 


从 实质 上 说 ， 计 算 机 病毒 是 一 段 程序 代码 ， 虽 然 它 可 能 隐藏 得 很 好 ， 但 也 会 留 下 许多 
痕迹 。 通 过 对 这 些 蛛丝马迹 的 判别 ， 就 能 发 现 计 算 机 病毒 的 存在 。 

根据 计算 机 病毒 感染 和 发 作 的 阶段 ， 可 以 将 计算 机 病毒 的 表现 现象 分 为 三 大 类 ， 即 计 
算 机 病毒 发 作 前 、 发 作 时 和 发 作 后 的 表现 现象 。 介 绍 计算 机 病毒 的 表现 现象 之 前 ， 先 介绍 
一 下 计算 机 病毒 的 特点 。 
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2.2.1 计算 机 病毒 的 特点 


计算 机 病毒 一 般 具 有 以 下 特性 。 

1. 计算 机 病毒 的 可 执行 性 

计算 机 病毒 与 其 他 合法 程序 一 样 ， 是 一 段 可 执行 的 程序 ， 但 它 不 是 一 个 完整 的 程序 ， 
而 是 寄生 在 其 他 可 执行 的 程序 上 ， 因 此 它 享有 一 切 程序 所 能 得 到 的 权力 。 在 病毒 运行 时 ， 
与 合法 程序 争夺 系统 的 控制 权 。 计 算 机 病毒 只 有 当 它 在 计算 机 内 得 以 运行 时 ， 才 具有 传染 
性 和 破坏 性 等 活性 。 也 就 是 说 计算 机 CPU 的 控制 权 是 关键 问题 。 若 计算 机 在 正常 程序 控 
制 下 运行 ， 而 不 运行 带 病毒 的 程序 ， 则 这 台 计 算 机 总 是 可 靠 的 。 在 这 台 计 算 机 上 可 以 查看 
病毒 文件 的 名 字 ， 查 看 计算 机 病毒 的 代码 ， 打 印 病毒 的 代码 ， 甚 至 复制 病毒 程序 ， 却 都 不 
会 感染 上 病毒 。 反 病毒 技术 人 员 整 天 就 是 在 这 样 的 环境 下 工作 。 他 们 的 计算 机 虽 也 存 有 各 
种 计算 机 病毒 的 代码 ， 但 已 置 这 些 病毒 于 控制 之 下 ， 计 算 机 不 会 运行 病毒 程序 ， 整 个 系统 
是 安全 的 。 相 反 ， 计 算 机 病毒 一 经 在 计算 机 上 运行 ， 在 同一 台 计 算 机 内 病毒 程序 与 正常 系 
统 程序 ， 或 某 种 病毒 与 其 他 病毒 程序 争夺 系统 控制 权时 往往 会 造成 系统 崩溃 ， 导 致 计算 机 
瘫痪 。 反 病毒 技术 就 是 要 提前 取得 计算 机 系统 的 控制 权 , 识别 出 计算 机 病毒 的 代码 和 行为 
阻止 其 取得 系统 控制 权 。 反 病毒 技术 的 优 劣 就 是 体现 在 这 一 点 上 。 一 个 好 的 抗 病毒 系统 应 
该 不 仅 能 可 靠 地 识别 出 已 知 计算 机 病毒 的 代码 , 阻止 其 运行 或 旁 路 掉 其 对 系统 的 控制 权 ( 实 
现 安全 带 毒 运行 被 感染 程序 ) ， 还 应 该 识别 出 未 知 计 算 机 病毒 在 系统 内 的 行为 ， 阻 止 其 传 
染 和 破坏 系统 的 行动 。 

2. 计算 机 病毒 的 传染 性 

传染 性 是 病毒 的 基本 特征 。 在 生物 界 ， 病 毒 通过 传染 从 一 个 生物 体 扩散 到 另 一 个 生物 
体 。 在 适当 的 条 件 下 ， 它 可 以 得 到 大 量 繁殖 ， 并 使 被 感染 的 生物 体 表现 出 病症 甚至 死亡 。 
同样 ， 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ， 在 某 
些 情 况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 与 生物 病毒 不 同 的 是 ， 计 算 机 病毒 是 一 
段 人 为 编制 的 计算 机 程序 代码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ， 它 就 会 搜寻 其 
他 符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 
的 目的 。 只 要 一 台 计算 机 染 毒 ， 如 不 及 时 处 理 ， 那 么 病毒 会 在 这 台 机 子 上 迅速 扩散 ， 其 中 
的 大 量 文件 〈 一 般 是 可 执行 文件 ) 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ， 再 与 其 
他 机 器 进行 数据 交换 或 通过 网 络 接触 ， 病 毒 会 继续 进行 传染 。 

正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 的 。 而 病毒 却 能 
使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 计 算 机 病毒 可 通 
过 各 种 可 能 的 渠道 ， 如 软盘 、 计 算 机 网 络 去 传染 其 他 的 计算 机 。 当 您 在 一 台 机 器 上 发 现 了 
病毒 时 ， 往 往 曾 在 这 台 计 算 机 上 用 过 的 软盘 已 感染 上 了 病毒 ， 而 与 这 台 机 器 相 联 网 的 其 他 
计算 机 也 许 也 被 该 病毒 染 上 了 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重 
要 条 件 。 

病毒 程序 通过 修改 磁盘 肩 区 信息 或 文件 内 容 并 把 自身 嵌入 到 其 中 的 方法 达到 病毒 的 传 
染 和 扩散 。 被 嵌入 的 程序 叫做 宿主 程序 。 

3. 计算 机 病毒 的 潜伏 性 

一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 之 后 一 般 不 会 马上 发 作 ， 可 以 在 几 周 或 者 


| 
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几 个 月 内 甚至 几 年 内 隐藏 在 合法 文件 中 ， 对 其 他 系统 进行 传染 ， 而 不 被 人 发 现 ， 潜 伏 性 人 钝 
好 ， 其 在 系统 中 的 存在 时 间 就 会 愈 长 ， 病 毒 的 传染 范围 就 会 愈 大 。 

潜伏 性 的 第 一 种 表现 是 指 ， 病 毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 ， 因 此 病毒 可 
以 静 静 地 躲 在 磁盘 或 磁带 里 待 上 几 天 ， 甚 至 几 年 ， 一 旦 时 机 成 熟 ， 得 到 运行 机 会 ， 就 又 要 
四 处 繁殖 、 扩 散 ， 继 续 为 害 。 潜 伏 性 的 第 二 种 表现 是 指 ， 计 算 机 病毒 的 内 部 往往 有 一 种 触 
发 机 制 ， 不 满足 触发 条 件 时 ， 计 算 机 病毒 除了 传染 外 不 做 什么 破坏 工作 。 触 发 条 件 一 旦 得 
到 满足 ， 有 的 在 屏幕 上 显示 信息 、 图 形 或 特殊 标识 ， 有 的 则 执行 破坏 系统 的 操作 ， 如 格式 
化 磁盘 、 删 除 磁盘 文件 、 对 数据 文件 做 加 密 、 封 锁 键盘 以 及 使 系统 死 锁 等 。 

4. 计算 机 病毒 的 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
为 了 隐蔽 自己 ， 病 毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜伏 的 话 ， 病 毒 既 不 能 感 
染 也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 ， 它 必须 具有 可 触发 
性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 的 。 病 毒 具有 预定 的 触发 条 件 ， 
这 些 条 件 可 能 是 时 间 、 日 期 、 文 件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 制 检查 预 
定 条 件 是 否 满足 ， 如 果 满 足 ， 启 动感 染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ; 如 果 不 满足 ， 
病毒 继续 潜伏 。 

5. 计算 机 病毒 的 破坏 性 

所 有 的 计算 机 病毒 都 是 一 种 可 执行 程序 ， 而 这 一 可 执行 程序 又 必然 要 运行 ， 所 以 对 系 
统 来 讲 ， 所 有 的 计算 机 病毒 都 存在 一 个 共同 的 危害 ， 即 降低 计算 机 系统 的 工作 效率 ， 占 用 
系统 资源 ， 其 具体 情况 取决 于 入 侵 系统 的 病毒 程序 。 

计算 机 病毒 的 破坏 性 主要 取决 于 计算 机 病毒 设计 者 的 目的 。 如 果 病 毒 设计 者 的 目的 在 
于 彻底 破坏 系统 的 正常 运行 的 话 ， 那 么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 后 果 是 难 
以 设想 的 ， 它 可 以 毁 掉 系统 的 部 分 数据 ， 也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 。 但 并 非 所 
有 的 病毒 都 对 系统 产生 极其 恶劣 的 破坏 作用 。 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 交叉 感 
染 ， 也 会 导致 系统 崩溃 等 重大 恶果 。 

6. 攻击 的 主动 性 

病毒 对 系统 的 攻击 是 主动 的 , 不 以 人 的 意志 为 转移 的 。 也 就 是 说 ， 从 一 定 的 程度 上 讲 ， 
计算 机 系统 无 论 采 取 多 么 严密 的 保护 措施 都 不 可 能 彻底 地 排除 病毒 对 系统 的 攻击 ， 而 保护 
措施 充其量 是 一 种 预防 的 手段 而 已 。 

7. 病毒 的 针对 性 

计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 例 如 ， 有 针对 1BM PC 及 其 
兼容 机 的 ， 有 针对 Apple 公司 的 Macintosh 的 ， 还 有 针对 UNIX 操作 系统 的 。 例 如 小 球 病 
毒 是 针对 IBM PC 及 其 兼容 机 上 的 DOS 操作 系统 的 。 

8. 病毒 的 非 授 权 性 

病毒 未 经 授权 而 执行 。 一 般 正常 的 程序 是 由 用 户 调用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 
交 给 的 任务 。 其 目的 对 用 户 是 可 见 的 、 透 明 的 。 而 病毒 具有 正常 程序 的 一 切 特性 ， 它 隐藏 
在 正常 程序 中 ， 当 用 户 调用 正常 程序 时 窃取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 的 
动作 、 目 的 对 用 户 来 说 是 未 知 的 ， 是 未 经 用 户 允 许 的 。 
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9. 病毒 的 隐蔽 性 

病毒 一 般 是 具有 很 高 编程 技巧 ， 短 小 精 悍 的 程序 。 通 常 附 在 正常 程序 中 或 磁盘 较 隐 蔽 
的 地 方 ， 也 有 个 别 的 以 隐 含 文件 形式 出 现 。 目 的 是 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 代 
码 分 析 ， 病 毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 一 般 在 没有 防护 措施 的 情况 下 ， 计 算 
机 病毒 程序 取得 系统 控制 权 后 ， 可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受 到 传染 后 ， 计 
算 机 系统 通常 仍 能 正常 运行 , 使 用 户 不 会 感到 任何 异常 , 好 像 不 曾 在 计算 机 内 发 生 过 什么 。 
试想 ， 如 果 病 毒 在 传染 到 计算 机 上 之 后 ， 机 器 马上 无 法 正常 运行 ， 那 么 它 本 身 便 无 法 继续 
进行 传染 了 。 正 是 由 于 隐蔽 性 ， 计 算 机 病毒 得 以 在 用 户 没 有 察觉 的 情况 下 扩散 并 游荡 于 世 
界 上 百 万 台 计算 机 中 。 

大 部 分 的 病毒 的 代码 之 所 以 设计 得 非常 短小 , 也 是 为 了 隐藏 。 病 毒 一般 只 有 几 百 或 1K 
字 节 , 而 PC 对 DOS 文件 的 存 取 速度 可 达 每 秒 几 百 KB 以 上 ， 所 以 病毒 转瞬 之 间 便 可 将 这 
短 短 的 几 百 个 字 节 附着 到 正常 程序 之 中 ， 使 人 非常 不 易 察 觉 。 

计算 机 病毒 的 隐蔽 性 表现 在 两 个 方面 。 

(1) 传染 的 隐蔽 性 。 大 多 数 病毒 在 进行 传染 时 速度 是 极 快 的 ， 一 般 不 具有 外 部 表现 ， 
不 易 被 人 发 现 。 我 们 设想 ， 如 果 计 算 机 病毒 每 当 感染 一 个 新 的 程序 时 都 在 屏幕 上 显示 一 条 
信息 “我 是 病毒 程序 ， 我 要 干 坏事 了 ”， 那 么 计算 机 病毒 早 就 被 控制 住 了 。 确 实 有 些 病毒 
非常 “勇于 暴露 自己 ”， 时 不 时 在 屏幕 上 显示 一 些 图 案 或 信息 ， 或 演奏 一 段 乐 曲 。 往 往 此 
时 那 台 计算 机 内 已 有 许多 病毒 的 拷贝 了 。 许 多 计算 机 用 户 对 计算 机 病毒 没有 任何 概念 ， 更 
不 用 说 心理 上 的 警惕 了 。 他 们 见 到 这 些 新 奇 的 屏幕 显示 和 音响 效果 ， 还 以 为 是 来 自 计 算 机 
系统 ， 而 没有 意识 到 这 些 病毒 正在 损害 计算 机 系统 ， 正 在 制造 灾难 。 

(2) 病毒 程序 存在 的 隐蔽 性 。 一 般 的 病毒 程序 都 夹 在 正常 程序 之 中 ， 很 难 被 发 现 ， 而 
一 旦 病毒 发 作出 来 ， 往 往 已 经 给 计算 机 系统 造成 了 不 同 程度 的 破坏 。 被 病毒 感染 的 计算 机 
在 多 数 情况 下 仍 能 维持 其 部 分 功能 ， 不 会 由 于 一 感染 上 病毒 ， 整 台 计 算 机 就 不 能 启动 了 ， 
或 者 某 个 程序 一 旦 被 病毒 所 感染 ， 就 被 损坏 得 不 能 运行 了 。 如 果 出 现 这 种 情况 ， 病 毒 也 就 
不 能 传播 得 那么 快 了 。 计 算 机 病毒 设计 的 精巧 之 处 也 在 这 里 。 正 常 程序 被 计算 机 病毒 感染 
后 ， 其 原 有 功能 基本 上 不 受 影响 ， 病 毒 代码 附 于 其 上 而 得 以 存活 ， 得 以 不 断 地 得 到 运行 的 
机 会 ， 去 传染 出 更 多 的 复制 体 ， 与 正常 程序 争夺 系统 的 控制 权 和 磁盘 空间 ， 不 断 地 破坏 系 
统 ， 导 致 整个 系统 的 瘫痪 。 病 毒 的 代码 设计 得 非常 精巧 而 又 短小 。 

10. 病毒 的 衍生 性 

这 种 特性 为 一 些 好 事 者 提供 了 一 种 创造 新 病毒 的 捷径 。 

分 析 计算 机 病毒 的 结构 可 知 ， 传 染 的 破坏 部 分 反映 了 设计 者 的 设计 思想 和 设计 目的 。 
但 是 ， 这 可 以 被 其 他 掌握 原理 的 人 以 其 个 人 的 企图 进行 任意 改动 ， 从 而 又 衍生 出 一 种 不 同 
于 原版 本 的 新 的 计算 机 病毒 〈 又 称 为 变种 ) 。 这 就 是 计算 机 病毒 的 衍生 性 。 这 种 变种 病毒 
造成 的 后 果 可 能 比 原 版 病毒 严重 得 多 。 

11. 病毒 的 依附 性 

病毒 程序 菊 入 到 宿主 程序 中 ， 依 赖 于 宿主 程序 的 执行 而 生存 ， 这 就 是 计算 机 病毒 的 寄 
生性 。 病 毒 程序 在 侵入 到 宿主 程序 中 后 ， 一 般 对 宿主 程序 进行 一 定 的 修改 ， 宿 主 程序 一 旦 
执行 ， 病 毒 程序 就 被 激活 ， 从 而 可 以 进行 自我 复制 和 繁衍 。 
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12. 病毒 的 不 可 预见 性 

从 对 病毒 的 检测 方面 来 看 ， 病 毒 还 有 不 可 预见 性 。 不 同 种 类 的 病毒 ， 它 们 的 代码 千 差 
万 别 ， 但 有 些 操作 是 共有 的 (如 驻 内 存 ， 改 中 断 ) 。 有 些 人 利用 病毒 的 这 种 共性 ， 制 作 了 
声称 可 查 所 有 病毒 的 程序 。 这 种 程序 的 确 可 查 出 一 些 新 病毒 ， 但 由 于 目前 的 软件 种 类 极其 
丰富 ， 且 某 些 正 常 程序 也 使 用 了 类 似 病毒 的 操作 甚至 借鉴 了 某 些 病毒 的 技术 。 使 用 这 种 方 
法 对 病毒 进行 检测 势必 会 造成 较 多 的 误 报 情况 。 而 且 病 毒 的 制作 技术 也 在 不 断 地 提高 ， 病 
毒 对 反 病 毒 软件 永远 是 超前 的 。 新 一 代 计算 机 病毒 甚至 连 一 些 基本 的 特征 都 隐藏 了 了， 有 时 
可 通过 观察 文件 长 度 的 变化 来 判别 。 然 而 ， 更 新 的 病毒 也 可 以 在 这 个 问题 上 蒙蔽 用 户 ， 它 
们 利用 文件 中 的 空隙 来 存放 自身 代码 ， 使 文件 长 度 不 变 。 许 多 新 病毒 则 采用 变形 来 逃避 检 
查 ， 这 也 成 为 新 一 代 计 算 机 病毒 的 基本 特征 。 
13. 计算 机 病毒 的 欺骗 性 
计算 机 病毒 行动 诡秘 ， 计 算 机 对 其 反应 迟钝 ， 往 往 把 病毒 造成 的 错误 当成 事实 接受 下 
来 ， 故 它 很 容易 获得 成 功 。 

14. 计算 机 病毒 的 持久 性 

即使 在 病毒 程序 被 发 现 以 后 ， 数 据 和 程序 以 至 操作 系统 的 恢复 都 非常 困难 。 特 别 是 在 
网 络 操作 情况 下 ， 由 于 病毒 程序 由 一 个 受 感染 的 拷贝 通过 网 络 系统 反复 传播 ， 使 得 病毒 程 
序 的 清除 非常 复杂 。 


2.2.2 计算 机 病毒 发 作 前 的 表现 现象 


计算 机 病毒 发 作 前 ， 是 指 从 计算 机 病毒 感染 计算 机 系统 ， 潜 伏 在 系统 内 开始 ， 一 直到 
激发 条 件 满足 ， 计 算 机 病毒 发 作 之 前 的 一 个 阶段 。 在 这 个 阶段 ， 计 算 机 病毒 的 行为 主要 是 
以 潜伏 、 传 播 为 主 。 计 算 机 病毒 会 以 各 式 各 样 的 手法 来 隐藏 自己 ， 在 不 被 发 现 同 时 ， 又 自 
我 复制 ， 以 各 种 手段 进行 传播 。 

以 下 是 一 些 计算 机 病毒 发 作 前 常见 的 表现 现象 。 

1. 平时 运行 正常 的 计算 机 突然 经 常 性 无 缘 无 故地 死机 

病毒 感染 了 计算 机 系统 后 ， 将 自身 驻 留 在 系统 内 并 修改 了 中 断 处 理 程序 等 ， 引 起 系统 
工作 不 稳定 ， 造 成 死机 现象 发 生 。 

2. 操作 系统 无 法 正常 启动 

关机 后 再 启动 ， 操 作 系统 报告 缺少 必要 的 启动 文件 ， 或 启动 文件 被 破坏 ， 系 统 无 法 启 
动 。 这 很 可 能 是 计算 机 病毒 感染 系统 文件 后 使 得 文件 结构 发 生变 化 , 无 法 被 操作 系统 加 载 、 
引导 。 

3. 运行 速度 明显 变 慢 

在 硬件 设备 没有 损坏 或 更 换 的 情况 下 ， 本 来 运行 速度 很 快 的 计算 机 ， 运 行 同样 应 用 程 
序 ， 速 度 明 显 变 慢 ， 而 且 重 启 后 依然 很 慢 。 这 很 可 能 是 计算 机 病毒 占用 了 大 量 的 系统 资源 ， 
并 且 自 身 的 运行 占用 了 大 量 的 处 理 器 时 间 ， 造 成 系统 资源 不 足 ， 运 行 变 慢 。 

4. 以 前 能 正常 运行 的 软件 经 常 发 生 内 存 不 足 的 错误 

某 个 以 前 能 够 正常 运行 的 程序 ， 程 序 启动 的 时 候 报 系统 内 存 不 足 ， 或 者 使 用 应 用 程序 
中 的 某 个 功能 时 报 说 内 存 不 足 。 这 可 能 是 计算 机 病毒 驻 留 后 占用 了 系统 中 大 量 的 内 存 空间 ， 
使 得 可 用 内 存 空 间 减 小 。 需 要 注意 的 是 在 Windows 95/98 下 ， 记 事 本 程序 所 能 够 编辑 的 文 
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本 文件 不 超过 64KB， 如 果 用 “复制 / 粘贴 ” 操作 粘贴 一 段 很 大 的 文字 到 记事 本 程序 时 ， 也 
会 报 “ 内 存 不 足 ， 不 能 完成 操作 ”的 错误 ， 但 这 不 是 计算 机 病毒 在 作怪 。 

5. 打印 和 通信 发 生 异 常 

硬件 没有 更 改 或 损坏 的 情况 下 ， 以 前 工作 正常 的 打印 机 , 近期 发 现 无 法 进行 打印 操作 ， 
或 打印 出 来 的 是 乱码 。 串 口 设 备 无 法 正常 工作 ， 比 如 调制 解 调 器 不 拨号 。 这 很 可 能 是 计算 
机 病毒 驻 留 内 存 后 占用 了 打印 端口 、 串 行 通信 端口 的 中 断 服务 程序 ， 使 之 不 能 正常 工作 。 

6. 无 意 中 要 求 对 软盘 进行 写 操作 

没有 进行 任何 读 、 写 软盘 的 操作 ， 操 作 系统 提示 软驱 中 没有 插入 软盘 ， 或 者 要 求 在 读 
取 、 复 制 写 保护 的 软盘 上 的 文件 时 打开 软盘 的 写 保 护 。 这 很 可 能 是 计算 机 病毒 自动 查找 软 
盘 是 否 在 软驱 中 的 时 候 引起 的 系统 异常 。 需 要 注意 的 是 有 些 编辑 软件 需要 在 打开 文件 的 时 
候 创建 一 个 临时 文件 ， 也 有 的 安装 程序 (如 Office 97) 对 软盘 有 写 的 操作 。 

7. 以 前 能 正常 运行 的 应 用 程序 经 常 发 生死 机 或 者 非法 错误 

在 硬件 和 操作 系统 没有 进行 改动 的 情况 下 ， 以 前 能 够 正常 运行 的 应 用 程序 产生 非法 错 
误 和 死机 的 情况 明显 增加 。 这 可 能 是 由 于 计算 机 病毒 感染 应 用 程序 后 破坏 了 应 用 程序 本 身 
的 正常 功能 ， 或 者 计算 机 病毒 程序 本 身 存 在 着 兼容 性 方面 的 问题 造成 的 。 

8. 系统 文件 的 了 时间、 日 期 、 大 小 发 生变 化 

这 是 最 明显 的 计算 机 病毒 感染 迹象 。 计 算 机 病毒 感染 应 用 程序 文件 后 ， 会 将 自身 隐藏 
在 原始 文件 的 后 面 ， 文 件 大 小 大 多 数 会 有 所 增加 ， 文 件 的 访问 、 修 改 日 期 和 时 间 也 会 被 改 
成 感染 时 的 时 间 。 尤 其 是 对 那些 系统 文件 ， 绝 大 多 数 情况 下 是 不 会 修改 它们 的 ， 除 非 是 进 
行 系统 升级 或 打 补丁 。 对 应 用 程序 使 用 到 的 数据 文件 、 文 件 大 小 和 修改 日 期 、 时 间 是 可 能 
会 改变 的 ， 并 不 一 定 是 计算 机 病毒 在 作怪 。 

9. Word 文件 另存 时 只 能 以 模板 方式 保存 

无 法 “另存 为 ”一 个 DOC 文档 ， 只 能 保存 成 模板 文档 (DOT) 。 这 往往 是 打开 的 Word 
文档 中 感染 了 Word 宏 病 毒 的 缘故 。 

10. 磁盘 空间 迅速 减少 

没有 安装 新 的 应 用 程序 ， 而 系统 可 用 的 磁盘 空间 减少 得 很 快 。 这 可 能 是 计算 机 病毒 感 
染 造 成 的 。 需 要 注意 的 是 经 常 浏览 网 页 、 回 收 站 中 的 文件 过 多 、 临 时 文件 夹 下 的 文件 数量 
过 多 过 大 、 计 算 机 系统 有 过 意外 断 电 等 情况 也 可 能 会 造成 可 用 的 磁盘 空间 迅速 减少 。 另 一 
种 情况 是 Windows 95/98 下 的 内 存 交 换文 件 的 增长 ， 在 Windows 95/98 下 内 存 交换 文件 会 
随 着 应 用 程序 运行 的 时 间 和 进程 的 数量 增加 而 增长 ， 一 般 不 会 减少 ， 而 且 同 时 运行 的 应 用 
程序 数量 越 多 ， 内 存 交 换文 件 就 越 大 。 

11. 网 络 驱动 器 卷 或 共享 目录 无 法 调用 

对 于 有 读 权 限 的 网 络 驱 动 器 卷 、 共 享 目录 等 无 法 打开 、 浏 览 ， 或 者 对 有 写 权 限 的 网 络 
驱动 器 卷 、 共 享 目录 等 无 法 创建 、 修 改 文件 。 虽 然 目 前 还 很 少 有 纯粹 地 针对 网 络 驱动 器 卷 
和 共享 目录 的 计算 机 病毒 ， 但 计算 机 病毒 的 某 些 行为 可 能 会 影响 对 网 络 驱动 器 卷 和 共享 目 
录 的 正常 访问 。 

12. 基本 内 存 发 生变 化 

在 DOS 下 用 mem /cp 命令 查看 系统 中 内 存 使 用 状况 的 时 候 可 以 发 现 基本 内 存 总 字 节 
数 比 正常 的 640KB 要 小 ， 一般 少 1~2KB。 这 通常 是 计算 机 系统 感染 了 引导 型 计算 机 病毒 
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所 造成 的 。 

13. 陌生 人 发 来 的 电子 函件 

收 到 陌生 人 发 来 的 电子 函件 ， 尤 其 是 那些 标题 很 具 诱惑 力 ， 比 如 一 则 笑话 ， 或 者 一 封 
情书 等 ， 又 带 有 附件 的 电子 函件 。 当 然 ， 这 要 与 广告 电子 函件 、 垃 圾 电子 函件 和 电子 函件 
炸弹 区 分 开 。 一 般 来 说 广告 电子 函件 有 很 明确 的 推销 目的 ， 会 有 它 推销 的 产品 介绍 ; 垃圾 
电子 函件 的 内 容 要 么 自 成 章 回 ， 要 么 根本 没有 价值 。 这 两 种 电子 函件 大 多 是 不 会 携带 附件 
的 。 电 子 函 件 炸 弹 虽 然 也 带 有 附件 ， 但 附件 一 般 都 很 大 ， 少 则 上 兆 字 节 ， 多 的 有 几 十 兆 甚 
至 上 百 兆 字 节 ， 而 电子 函件 计算 机 病毒 的 附件 大 多 是 脚本 程序 ， 通 常 不 会 超过 100KB。 当 
然 ， 电 子 函 件 炸 弹 在 一 定 意义 上 也 可 以 看 成 是 一 种 黑客 程序 ， 是 一 种 计算 机 病毒 。 

14. 自动 连接 到 一 些 陌生 的 网 站 

没有 在 上 网 ， 计 算 机 会 自动 拨号 并 连接 到 因特网 上 一 个 陌生 的 站 点 ， 或 者 在 上 网 的 时 
候 发 现 网 络 特别 慢 ， 存 在 陌生 的 网 络 连接 。 这 种 连接 大 多 是 黑客 程序 将 收集 到 的 计算 机 系 
统 的 信息 “悄悄 地 ”发 回 某 个 特定 的 网 址 ， 可 以 通过 netstat 命令 查看 当前 建立 的 网 络 连接 ， 
再 比照 访问 的 网 站 来 发 现 。 需 要 注意 的 是 有 些 网 页 中 有 一 些 脚本 程序 会 自动 连接 到 一 些 网 
页 评比 站 点 ， 或 者 是 广告 站 点 ， 这 时 候 也 会 有 陌生 的 网 络 连接 出 现 。 当 然 ， 这 种 情况 也 可 
以 认为 是 非法 的 。 

一 般 的 系统 故障 是 有 别 于 计算 机 病毒 感染 的 。 系 统 故障 大 多 只 符合 上 面 的 一 点 或 二 点 
现象 ， 而 计算 机 病毒 感染 所 出 现 的 现象 会 多 得 多 。 根 据 上 述 几 点 ， 就 可 以 初步 判断 计算 机 
和 网 络 是 否 感染 上 了 计算 机 病毒 。 


2.2.3 ”计算 机 病毒 发 作 时 的 表现 现象 


计算 机 病毒 发 作 时 是 指 满足 计算 机 病毒 发 作 的 条 件 ， 计 算 机 病毒 程序 开始 破坏 行为 的 
阶段 。 计 算 机 病毒 发 作 时 的 表现 大 都 各 不 相同 ， 可 以 说 一 百 个 计算 机 病毒 发 作 有 一 百 种 花 
样 。 这 与 编写 计算 机 病毒 者 的 心态 、 所 采用 的 技术 手段 等 都 有 密切 的 关系 。 

以 下 列举 了 一 些 计算 机 病毒 发 作 时 常见 的 表现 现象 。 

1. 提示 一 些 不 相干 的 话 
最 常见 的 是 提示 一 些 不 相干 的 话 ， 比 如 打开 感染 了 宏 病 毒 的 Word 文档 ， 如 果 满 足 了 
发 作 条 件 的 话 ， 它 就 会 弹出 对 话 框 显示 “这 个 世界 太 黑 暗 了 ! ”， 并 且 要 求 输入 “ 太 正 确 
了 ”后 按 确定 按钮 。 

2. 发 出 一 段 的 音乐 

恶作剧 式 的 计算 机 病毒 ， 最 著名 的 是 外 国 的 “ 杨 基 ” 计 算 机 病毒 (Yangkee) 和 中 国 的 
“浏阳 河 ” 计 算 机 病毒 。“ 杨 基 ” 计 算 机 病毒 发 作 是 利用 计算 机 内 置 的 扬声器 演奏 《 杨 基 》 
音乐 ， 而 “浏阳 河 ” 计 算 机 病毒 更 绝 ， 当 系统 时 钟 为 9 月 9 日 时 演奏 歌曲 《浏阳 河 》， 而 
当 系统 时 钟 为 12 月 26 日 时 则 演奏 《东方 红 》 的 旋律 。 这 类 计算 机 病毒 大 多 属于 “良性 ” 
计算 机 病毒 ， 只 是 在 发 作 时 发 出 音乐 和 占用 处 理 器 资源 。 

3. 产生 特定 的 图 象 

另 一 类 恶作剧 式 的 计算 机 病毒 ， 比 如 小 球 计算 机 病毒 ， 发 作 时 会 从 屏幕 上 方 不 断 掉 落 
下 来 小 球 图 形 。 单 纯 地 产生 图 像 的 计算 机 病毒 大 多 也 是 “良性 ”计算 机 病毒 ， 只 是 在 发 作 
时 破坏 用 户 的 显示 界面 ， 干 扰 用 户 的 正常 工作 。 
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4. 硬盘 灯 不 断 闪 烁 

硬盘 灯 闪 烁 说 明 有 硬盘 读 写 操作 。 当 对 硬盘 有 持续 大 量 的 操作 时 ， 硬 盘 的 灯 就 会 不 断 
地 闪烁 ， 比 如 格式 化 或 者 写 入 很 大 的 文件 。 有 时 候 对 某 个 硬盘 扇 区 或 文件 反复 读 取 的 情况 
下 也 会 造成 硬盘 灯 不 断 闪 烁 。 有 的 计算 机 病毒 会 在 发 作 的 时 候 对 硬盘 进行 格式 化 ， 或 者 写 
入 许多 垃圾 文件 ， 或 反复 读 取 某 个 文件 ， 致 使 硬盘 上 的 数据 遭 到 损失 。 具 有 这 类 发 作 现象 
的 计算 机 病毒 大 多 是 “恶性 ”计算 机 病毒 。 

5. 进行 游戏 算法 

有 些 恶 作 剧 式 的 计算 机 病毒 发 作 时 采取 某 些 算法 简单 的 游戏 来 中 断 用 户 的 工作 ， 一 定 
要 玩 赢 了 才 让 用 户 继续 他 的 工作 。 比 如 曾经 流行 一 时 的 “台湾 一 号 ” 宏 病毒 ， 在 系统 日 期 
为 13 日 时 发 作 ， 弹 出 对 话 框 ， 要 求 用 户 做 算术 题 。 这 类 计算 机 病毒 一 般 是 属于 “良性 ” 计 
算 机 病毒 ， 但 也 有 那 种 用 户 输 了 后 进行 破坏 的 “恶性 ”计算 机 病毒 。 

6. Windows 桌面 图 标 发 生变 化 

这 一 般 也 是 恶作剧 式 的 计算 机 病毒 发 作 时 的 表现 现象 。 把 Windows 默认 的 图 标 改 成 其 
他 样式 的 图 标 , 或 者 将 其 他 应 用 程序 、 快 捷 方式 的 图 标 改 成 Windows 默认 图 标 样式 ， 起 到 
迷惑 用 户 的 作用 。 

7. 计算 机 突然 死机 或 重启 

有 些 计算 机 病毒 程序 兼容 性 上 存在 问题 ， 代 码 没有 严格 测试 ， 在 发 作 时 会 造成 意 想 不 
到 情况 ; 或 者 是 计算 机 病毒 在 Autoexec.bat 文件 中 添加 了 一 句 Format c: 之 类 的 语句 ,需要 
系统 重启 后 才能 实施 破坏 的 。 

8. 自动 发 送 电子 函件 

大 多 数 电子 函件 计算 机 病毒 都 采用 自动 发 送 电子 函件 的 方法 作为 传播 的 手段 ， 也 有 的 
电子 函件 计算 机 病毒 在 某 一 特定 时 刻 向 同一 个 邮件 服务 器 发 送 大 量 无 用 的 信件 ， 以 达到 阻 
塞 该 邮件 服务 器 的 正常 服务 功能 。 

9. 鼠标 自己 在 动 

没有 对 计算 机 进行 任何 操作 ， 也 没有 运行 任何 演示 程序 、 屏 幕 保 护 程序 等 ， 而 屏幕 上 
的 鼠标 自己 在 动 ， 应 用 程序 自己 在 运行 ， 有 受 遥 控 的 现象 。 大 多 数 情况 下 是 计算 机 系统 受 
到 了 黑客 程序 的 控制 ， 从 广义 上 说 这 也 是 计算 机 病毒 发 作 的 一 种 现象 。 

需要 指出 的 是 ， 有 些 是 计算 机 病毒 发 作 的 明显 现象 ， 比 如 提示 一 些 不 相干 的 话 、 播 放 
音乐 或 者 显示 特定 的 图 像 等 。 有 些 现象 则 很 难 直接 判定 是 计算 机 病毒 的 表现 现象 ， 比 如 硬 
盘 灯 不 断 闪烁 ， 当 同时 运行 多 个 内 存 占 用 大 的 应 用 程序 ， 比 如 3ds Max，Adobe Premiere 
等 ， 而 计算 机 本 身 性 能 又 相对 较 弱 的 情况 下 ， 在 启动 和 切换 应 用 程序 的 时 候 也 会 使 硬盘 不 
停 地 工作 ， 硬 盘 灯 不 断 闪烁 。 


2.2.4 ”计算 机 病毒 发 作 后 的 表现 现象 

通常 情况 下 ， 计 算 机 病毒 发 作 都 会 给 计算 机 系统 带 来 破坏 性 的 后 果 ， 那 种 只 是 恶作剧 
式 的 “良性 ”计算 机 病毒 只 是 计算 机 病毒 家 族 中 的 很 小 一 部 分 。 大 多 数 计算 机 病毒 都 是 属 
于 “恶性 ”计算 机 病毒 。“ 恶 性 ”计算 机 病毒 发 作 后 往往 会 带 来 很 大 的 损失 ， 以 下 列举 一 
些 亚 性 计算 机 病毒 发 作 后 所 造成 的 后 果 。 
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1. 硬盘 无 法 启动 ， 数 据 丢 失 

计算 机 病毒 破坏 了 硬盘 的 引导 扇 区 后 ， 就 无 法 从 硬盘 启动 计算 机 系统 了 。 有 些 计算 机 
病毒 修改 了 硬盘 的 关键 内 容 〈 如 文件 分 配 表 ， 根 目录 区 等 ) ， 使 得 原先 保存 在 硬盘 上 的 数 
据 几 乎 完全 丢失 。 

2. 系统 文件 丢失 或 被 破坏 

通常 系统 文件 是 不 会 被 删除 或 修改 的 ， 除 非 对 计算 机 操作 系统 进行 了 升级 。 但 是 某 些 
计算 机 病毒 发 作 时 删除 了 系统 文件 ， 或 者 破坏 了 系统 文件 ， 使 得 以 后 无 法 正常 启动 计算 机 
系统 。 通 常 容 易 受 攻击 的 系统 文件 有 Command.com, Emm386.exe, Win.com, Kernel.exe, 
User.exe 等 等 。 

3. 文件 目录 发 生 混乱 

目录 发 生 混乱 有 两 种 情况 。 一 种 情况 就 是 确实 将 目录 结构 破坏 ， 将 目录 扇 区 作为 普通 
扇 区 ， 填 写 一 些 无 意义 的 数据 ， 再 也 无 法 恢复 。 另 一 种 情况 就 是 将 真正 的 目录 区 转移 到 硬 
盘 的 其 他 扇 区 中 ， 只 要 内 存 中 存 有 该 计算 机 病毒 ， 它 就 能 够 将 正确 的 目录 扇 区 读 出 ， 并 在 
应 用 程序 需要 访问 该 目录 的 时 候 提 供 正确 的 目录 项 ， 使 得 从 表面 上 看 来 与 正常 情况 没有 两 
样 。 但 是 一 旦 内 存 中 没有 该 计算 机 病毒 ， 那 么 通常 的 目录 访问 方式 将 无 法 访问 到 原先 的 目 
录 扇 区 。 这 种 破坏 还 是 能 够 被 恢复 的 。 

4. 部 分 文档 丢失 或 被 破坏 

类 似 系统 文件 的 丢失 或 被 破坏 , 有 些 计 算 机 病毒 在 发 作 时 会 删除 或 破坏 硬盘 上 的 文档 ， 
造成 数据 丢失 。 

5. 部 分 文档 自动 加 密码 

还 有 些 计算 机 病毒 利用 加 密 算法 ， 将 加 密 密 钥 保 存在 计算 机 病毒 程序 体内 或 其 他 隐蔽 
的 地 方 ， 而 被 感染 的 文件 被 加 密 ， 如 果 内 存 中 驻 留 有 这 种 计算 机 病毒 ， 那 么 在 系统 访问 被 
感染 的 文件 时 它 自动 将 文档 解密 ， 使 得 用 户 察觉 不 到 。 一 旦 这 种 计算 机 病毒 被 清除 ， 那 么 
被 加 密 的 文档 就 很 难 被 恢复 了 。 

6. 修改 Autoexec.bat 文件 ， 增 加 Format C: 命令 

在 计算 机 系统 稳定 工作 后 ， 一 般 很 少 会 有 用 户 去 注意 Autoexec.bat 文件 的 变化 ， 但 是 
这 个 文件 在 每 次 系统 重新 启动 的 时 候 都 会 被 自动 运行 ， 计 算 机 病毒 修改 这 个 文件 从 而 达到 
破坏 系统 的 目的 。 

7. 可 使 部 分 软件 升级 主板 的 BIOS 程序 混乱 ， 主 板 被 破坏 

类 似 CIH 计算 机 病毒 发 作 后 的 现象 ， 系 统 主板 上 的 BIOS 被 计算 机 病毒 改写 、 破 坏 ， 
使 得 系统 主板 无 法 正常 工作 ， 从 而 使 计算 机 系统 报废 。 

8. 网 络 瘫 并 ， 无 法 提供 正常 的 服务 

由 上 所 述 ， 我 们 可 以 了 解 到 防 杀 计算 机 病毒 软件 必须 要 实时 化 ， 在 计算 机 病毒 进入 系 
统 时 要 立即 报警 并 清除 ， 这 样 才能 确保 系统 安全 ， 待 计算 机 病毒 发 作 后 再 去 杀毒 ， 实 际 上 
已 经 为 时 已 晚 。 


2.3 ”计算 机 病毒 检测 方法 


计算 机 感染 病毒 以 后 通常 会 表现 出 一 些 异 常 的 情况 ， 特 别 明显 的 几 种 情况 包括 计算 机 
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运行 速度 变 慢 、 上 网 的 速度 变 慢 、 出 现 非法 操作 提示 等 ， 此 时 就 需要 通过 工具 来 检测 计算 
机 中 感染 病毒 的 情况 。 


2.3.1 手动 检测 病毒 的 常用 辅助 工具 


计算 机 病毒 的 种 类 非常 多 ， 对 计算 机 用 户 造 成 的 影响 也 是 各 种 各 样 ， 有 部 分 病毒 程序 
只 会 造成 使 用 上 的 不 方便 ， 并 不 会 对 系统 造成 灾难 性 的 破坏 ， 此 时 我 们 可 以 借助 一 些 辅助 
工具 来 进行 检测 ， 常 用 的 辅助 工具 包括 以 下 几 种 。 

1. 进程 查看 工具 

通过 进程 查看 工具 可 以 了 解 系统 中 当前 运行 进程 的 各 种 信息 ， 有 利于 及 时 发 现 非法 运 
行 的 进程 以 及 合法 进程 中 出 现 的 异常 现象 ， 在 此 推荐 的 工具 为 Process Explorer， 下 面 对 该 
工具 的 基本 用 法 做 一 个 简单 的 说 明 。 


提示 : Process Explorer 工具 可 以 从 网 站 下 载 ， 下 载 网 站 为 http://www-.sysinternals.com。 


(1) 找到 工具 程序 ， 启 动 该 程序 以 后 ， 其 主 界面 如 图 2-2 所 示 。 
(2) 双击 进程 列表 中 的 任何 一 个 进程 ， 出 现 进 程 相关 信息 窗口 ， 比 如 ， 双 击 
iexplore.exe 进程 ， 出 现 如 图 2-3 所 示 。 


Seosiy | Emiommen | Stings 
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图 2-2 Process Explorer 主 窗口 图 2-3 ”进程 信息 窗口 

(3) 在 进程 信息 窗口 中 ,包含 大 量 与 进程 相关 的 信息 ， 这 些 信息 通过 窗口 上 的 选项 卡 
进行 分 别 显示 。 单 击 对 应 的 选项 卡 就 可 以 看 到 对 应 的 信息 ， 比 如 单 击 Threads 选项 卡 就 可 
以 进程 当前 的 线程 信息 ， 如 图 2-4 所 示 。 

(4) 在 线程 信息 显示 窗口 中 ， 如 果 发 现 非法 线程 ， 可 以 通过 单 击 Kill 按钮 来 结束 该 
线程 ， 此 时 会 出 现 提示 框 ， 提 示 用 户 是 否 确实 要 结束 线程 ， 因 为 如 果 强 行 结束 某 些 重要 
线程 ， 会 导致 进程 甚至 系统 月 溃 。 通 过 单 击 Module 按钮 ， 可 以 查看 线程 对 应 的 文件 ， 如 
图 2-5 所 示 。 

(5) 通过 对 线程 对 应 的 文件 信息 通常 可 以 看 出 是 否 是 系统 中 的 正常 线程 还 是 非法 线 
程 ， 除 此 之 外 ， 在 线程 信息 窗口 上 还 可 以 单 击 Stack 按钮 ， 获 得 线程 的 堆栈 信息 ， 如 图 2-6 
所 示 。 
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图 2-4 进程 相关 线程 信息 窗口 
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图 2-5 ”线程 对 应 的 文件 信息 


(6) 查询 当前 引用 某 个 动态 链接 库 的 进程 , 选择 菜单 Find | Find Dll 命令 ,出现 如 图 
2-7 所 示 ， 输 入 动态 链接 库 的 文件 名 ， 单 击 Search 按钮 ， 可 以 显示 使 用 该 动态 链接 库 的 进 
程 列表 。 
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图 2-6 线程 堆栈 信息 图 2-7 查询 使 用 指定 动态 链接 库 的 进程 
(7) 单 击 工具 栏 上 的 System Information 按钮 ， 可 以 查看 系统 的 当前 信息 ， 其 功能 类 
似 于 进程 管理 器 中 的 对 应 功能 ， 如 图 2-8 所 示 。 


图 2-8 系统 信息 窗口 
(8) 除了 上 述 提 到 的 功能 ， 该 工具 还 有 其 他 一 些 重要 的 功能 ， 在 此 不 一 一 讲解 ， 希 望 
读者 自己 作为 练习 去 学 习 和 体会 。 
2. 自 启 动 设置 查看 工具 
计算 机 系统 出 现 异常 ， 通 常情 况 下 是 计算 机 系统 中 运行 了 一 些 非法 的 进程 ， 


只 要 结束 
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这 些 进程 就 可 以 让 系统 正常 运行 了 ， 而 这 些 进程 通常 采取 了 多 种 措施 ， 很 难 在 运行 状态 下 
将 其 结束 , 此 时 就 要 考虑 在 计算 机 系统 启动 的 过 程 中 , 不 能 让 其 运行 。 在 Windows 系统 中 ， 
设置 自动 启动 的 地 方 很 多 ， 而 且 ， 不 同类 型 的 程序 通常 设置 自动 启动 的 位 置 也 不 相同 ， 在 
此 ， 推 荐 一 种 工具 autoruns.exe， 可 以 很 方便 地 发 现 系统 中 自动 运行 的 配置 ， 下 面 对 其 使 用 
方法 做 简单 介绍 。 

(1) 找到 工具 程序 ， 启 动 程序 以 后 ， 出 现 如 图 2-9 所 示 。 


Autoruns [4USOFT-LMW\ Administrator] - Sysinternals: ww.sysinternals cor 
Ele Entry Options User tp 
EEET ES 

钴 sevices | ee | 司 BoonEnecue | 回 ImaoeHiecks 


Providers | 


+ 
a 

荔 mC SarrmAnE Vs rosest\Remaore mVCarrentyersloatialocoatghell 

外 Softmre Wi erosort indoms\CurrentYersion\Policies\srsten\shell 

共 MLNSOPTRARE Wi erosoft\Rindows NT\CurrentYersion\Rinlogon\shell 


图 2-9 自 启动 配置 查看 工具 
(2) 通过 主 窗口 ， 可 以 看 出 窗口 中 存在 多 种 启动 方式 的 配置 选项 卡 ， 选 择 Internet 
Explorer 选项 卡 ， 可 以 看 出 随 着 Internet ee 启动 的 程序 包括 哪些 ， 如 图 2-10 所 示 。 


Ee 
FEET EH 


咏 Seviess | ee | ogweue | 回 IamHiaas | DAP 
国 KnowmDtls Wnon | WoockPoies | a pin 
i 六 Ephrer kemet Explorer 


图 2-10 查看 随 Intemet Explorer 启动 的 程序 


(3) 在 列表 框 中 列 出 了 多 个 启动 项 , 而 且 还 根据 注册 表 中 的 位 置 不 同 进行 了 分 类 ,每 
个 启动 项 前 面 有 一 个 复 选 框 ， 如 果 复 选 框 为 选中 状态 ， 说 明 该 启动 项 是 有 效 的 ， 如 果 复 选 
框 处 于 没有 选择 状态 ， 说 明 该 启动 项 虽然 存在 ， 但 是 被 禁止 启动 了 。 当 然 ， 也 可 以 通过 改 
变 复 选 框 的 状态 来 改变 启动 项 的 状态 ， 即 允许 和 禁止 启动 项 自动 启动 。 

(4) 该 工具 比较 简单 ， 主 要 是 查看 是 否 存在 非法 自动 启动 的 配置 ， 然 后 通过 该 工具 进 
行 修改 对 应 的 设置 。 当 怀疑 有 非法 程序 自动 启动 的 时 候 ， 就 可 以 用 这 个 工具 来 检查 。 

3. 通信 查看 工具 

网 络 病毒 的 出 现 ， 使 得 病毒 程序 会 通过 网 络 与 网 络 上 的 其 他 计算 机 进行 通信 ， 此 时 通 
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过 通信 查看 程序 ， 可 以 看 到 系统 中 存在 的 各 种 通信 状况 ， 在 此 推荐 一 种 工具 TCPView， 其 


使 用 方法 如 下 。 
(1) 找到 工具 程序 ， 运 行程 序 后 ， 其 主 窗口 如 图 2-11 所 示 。 


LSTENING 


UDP 12700 
UDP 1270| 


图 2-11 通信 查看 工具 主 窗口 

(2) 在 通信 工具 主 窗口 中 ， 双 击 进程 列表 中 的 某 个 进程 ， 可 以 看 到 进程 对 应 的 文件 信 
息 ， 如 图 2-12， 这 有 利于 判断 文件 是 否 是 合法 文件 ， 特 别 是 文件 名 比较 特殊 的 时 候 。 

(3) 主 窗口 列表 中 列举 了 系统 中 当前 处 于 活动 状态 的 TCP 和 UDP 通信 连接 ， 通 过 右 
击 每 个 列表 项 ， 可 以 选择 结束 进程 或 者 关闭 连接 。 

4. 注册 表 上 监视 工具 

某 些 程序 一 旦 感染 病毒 以 后 就 会 检测 注册 表 ， 并 向 注册 表 中 写 入 信息 ， 特 别 是 自 启 
动 设 置 ， 有 时 为 了 防止 这 些 设置 被 修改 ， 病 毒 程序 会 定时 〈 比 如 间隔 2 秒 ) 设置 这 些 信 
息 ， 使 得 手动 修改 这 些 设 置 机 会 没有 用 。 这 里 推荐 工具 Regmon.exe。 下 面 对 其 使 用 方法 
简单 介绍 。 

(1) 找到 工具 程序 文件 ， 运 行程 序 ， 出 现 如 图 2-13 所 示 。 


el? 
日 | A&B 马 人 | 克 早 | 的 时 
ee re TT) Requoct [Pet Jaesn] ona]| 


百 SCFOSTEE30 Ovoryvel. HKUMIScfwaroWicoscftWEE SUCC.. 


sysema SeMValue ”HRLMSystamiCunemContnls ”SUCE 190 
Propertics for ei 划 显 ExploerEXE2z000 。 Queyyal. HKUMSYSTEWIContclSe001'. SUCC .ADe 
MonApp exe.2120 Querykey HKCU SUCC Nar 
E TIntemet Explorer 9 SvCHOST ExE:300 Queyval. HALMiSchwareWMicrosctNWBE. SUCC.. "E55 
RC 日 :poclwee1476 Operkey HKCUNPrntersConnecinns 。 SUCC Acz 
a 029 CMonApoexe2120 Createkey HKLMISystemiCuneniConhols SUCC .Apce 
Version: 60028001106 BD cuonappexe2l20 parkey HRCUNTypeUbMEAB22AC0-30，NDTF 
a 75 Enumeral, HK in 
DProoram Fies\ntemet EpoeNEXFLORE EXE 
Command ine: 
[Orogan Flesnieme Expbre|EXPLORE EXE™ 
End Process 
Oparkey HELMISOFTWAREVuSoNNSpy.. SUCE.. Acce 
Dueyvel_HQMSOFTAAPEWsofspy succ "| 
上 | 3 是 
图 2-12 进程 位 置信 息 图 2-13 注册 表 监视 工具 窗口 


(2) 系统 中 存在 多 个 程序 需要 访问 注册 表 , 利用 这 个 工具 可 以 对 这 些 访问 操作 进行 记 
录 ， 当 然 ， 并 不 是 所 有 的 信息 都 需要 ， 往 往 只 是 需要 监视 某 个 特定 的 注册 表 键 。 此 时 可 以 
通过 对 过 滤器 设置 来 达到 这 个 目的 ， 单 击 工具 栏 上 的 过 滤器 按钮 ， 出 现 如 图 2-14 所 示 。 

(3) 在 过 滤器 设置 窗口 中 ， 可 以 设置 需要 查看 记录 的 条 件 ， 方 法 是 : 在 Include 下 拉 
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列表 框 中 
Highlight 


输入 需要 包含 的 字符 ， 或 者 在 Exclude 下 拉 列 表 框 中 输入 不 包含 的 字符 ， 或 者 在 
下 拉 列 表 框 中 输入 需要 亮 显 示 的 字符 ， 单 击 OK 按钮 ， 使 设置 生效 。 


5. 调试 信息 查看 工具 


使 用 


调试 信息 查看 工具 查看 异常 信息 也 是 常用 方法 之 一 ， 因 为 在 开发 程序 〈 包 括 正常 


程序 和 病毒 程序 ) 时 ， 为 了 保证 程序 能 够 正常 运行 ， 都 会 对 程序 进行 调试 ， 这 个 工具 对 调 
试 程序 是 非常 方便 的 ， 工 具名 称 为 DebugView， 下 面 对 其 用 法 简单 介绍 如 下 。 
(1) 找到 工具 程序 ， 启 动 程序 ， 工 具 主 窗口 如 图 2-15 所 示 。 


avideard 
no 
Excuds 
Height 


bogOpens F LogFeak F LogSuoeses 克 
imgwiee 所 Ugo 所 Du | 


图 2-14 


Enig Muliple Wer match atirgs separaled by the' chatactat “Bs 


USOFT-LMW (local) 
NR 
芒 国 习 人 | 区 四 安 | 本 | 的 


间 
5864 12. 65100592 
5865 12. 65144145 QueryYalue: HKCUNSOFTWARENGIANTCompany\， 
5866 12. 65145403 。 ?3? is lue HECU\SOF TWARE\GIANTCompa, .. 


S868 12. 65151213 QuoryYalue: HECU\SOFTWARE\GIANTCompany\, .. 
5869 12. 65152387 。 7?? QueryYalue HECU\SOFTWARE\GIANICompa,.» 


5871 12. 65155432 。 Quer] ER 二 
B872 1 ore HECU\SOF TWARE\GIANTCompa, .. 
8 


S874 12.65249745 RegcloseKey: HKCU\SOFTYARE\GIANTConpary. .. 
5875 12. 65251170 。 ?3?? CloseKey HKCU\SOFTWARE\GIANTConpany... 


5877 12. 65307797 。 CurrentUser(0) \\REGISTRY\User\S-1-5-2,.. 


注册 表 监视 工具 过 滤器 设置 窗口 图 2-15 调试 信息 查看 工具 


(2) 因为 系统 中 通常 存在 多 种 程序 会 输出 调试 信息 ， 所 以 这 里 显示 的 消息 可 能 会 非常 


多 , 同样 ,这 些 信 息 并 不 都 是 有 用 的 , 通常 只 要 少数 特 
定 的 信息 才 有 用 ,所 以 需要 对 信息 进行 过 滤 , 即 设置 过 tn lle ee de 


滤器 。 单 击 工具 栏 上 的 过 滤器 设置 按钮 , 出 现 如 图 2-16 bowie 一 一 一 一 一 一 


的 窗口 。 


(3) 在 过 滤器 设置 窗口 中 , 在 Include 下 拉 列 表 窗 


口中 可 以 
设置 为 “ 
表 窗 口中 


设置 符合 条 件 的 记录 应 该 包含 什么 字符 , 如 果 。 图 2-16 调试 信息 查看 工具 过 滤器 
*”， 表 示 显 示 全 部 记录 ; 在 Exclude 下 拉 列 
可 以 设置 不 能 包含 的 字符 ， 设 置 完 成 ， 单 击 OK 按钮 ， 使 设置 生效 。 


(4) 该 工具 比较 简单 ， 除 了 上 面 介绍 的 功能 以 外 ， 还 有 一 些 方便 的 功能 ,希望 读者 作 
为 练习 认真 体会 。 
6. 文件 监视 工具 


有 时 
文件 又 出 


通过 各 种 工具 发 现 计算 机 上 存在 某 个 非法 文件 ， 想 方 设法 将 其 删除 以 后 ， 马 上 该 
现 了 ， 此 时 有 必要 对 文件 操作 情况 进行 监视 ， 这 里 推荐 一 款 工具 为 FileMon， 可 


以 监视 系统 对 文件 的 各 种 操作 ， 有 利于 发 现 是 什么 程序 创建 的 文件 ， 对 彻底 解决 非法 程序 


有 很 大 的 


帮助 。 


(1) 找到 工具 程序 ， 运 行程 序 ， 出 现 如 图 2-17 所 示 。 

(2) 系统 对 文件 操作 每 时 每 刻 都 在 进行 ， 所 以 也 会 存在 大 量 的 文件 操作 记录 ， 同 样 ， 
绝 大 部 分 记录 都 是 没有 意义 的 ， 只 有 找到 与 特定 文件 有 关 的 记录 才 有 价值 。 工 具 同样 提供 
了 过 滤器 设置 。 单 击 工具 栏 上 的 过 滤器 设置 按钮 ， 出 现 如 图 2-18 所 示 窗 口 。 

(3) 过 滤器 设置 与 调试 过 滤器 设置 基本 是 一 致 的 ， 在 此 不 再 详细 叙述 。 读 者 对 该 系统 
工具 多 进行 实践 操作 ， 以 便 在 必要 的 时 候 能 够 熟练 利用 。 
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图 2-17 文件 监视 工具 图 2-18 文件 监视 工具 过 滤器 


2.3.2 ”手动 清除 飘 雪 病毒 


当 计 算 机 系统 感染 丈 雪 病毒 后 ，IE 的 主页 会 被 修改 为 “http://www.piaoxue.com”， 而 
且 每 过 一 会 儿 就 会 弹出 一 个 网 页 窗口 ， 同 时 让 系统 变 慢 ， 下 面 对 该 病毒 做 相关 分 析 ， 并 就 
手工 清除 该 病毒 的 过 程 进行 说 明 。 

1. 病毒 感染 过 程 分 析 

病毒 感染 的 时 候 ， 首 先 检查 该 计算 机 有 没有 被 感染 ， 判 断 的 方式 是 通过 检查 系统 中 是 
否 存在 注册 表 键 HREY LOCAL MACHINE\SOFTWARE\Microsoft\Internet Explorer 
\SearchPlugInX) ， 如 果 存 在 ， 就 不 再 感染 ， 所 以 可 以 根据 这 一 点 来 免疫 。 

检查 系统 中 是 否 安装 了 虚拟 机 ， 判 断 方式 是 通过 检查 是 否 存 在 注册 表 键 
HKEY LOCAL MACHINE\Software\Vmware,inc\Vmware Tools， 如 果 存 在 ， 则 直接 退出 。 
这 点 主要 是 防范 系统 调试 人 员 ， 如 果 在 虚拟 机 上 安装 ， 就 退出 。 

该 病毒 没有 采用 BHO 的 方式 来 完成 自己 的 自动 启动 , 而 是 通过 驱动 程序 的 方式 来 完成 
自动 启动 的 ， 病 毒 程序 感染 时 会 随机 生成 两 个 驱动 文件 ， 文 件 名 称 是 随机 生成 的 ， 不 同 的 
计算 机 感染 时 ， 驱 动 文件 名 称 不 相同 ， 但 是 两 个 文件 名 称 都 是 8 个 字符 ， 然 后 将 驱动 文件 
复制 到 %system%\system32\drivers 目录 下 ， 并 将 驱动 安装 到 系统 中 。 安 装 的 过 程 生成 
eugnxqcx.sys 和 wllcnlke.sys。 

2. 使 用 工具 进行 分 析 

当 病 毒 运行 以 后 ， 会 建立 两 个 系统 线程 ， 使 用 进程 查看 工具 找 出 这 两 个 系统 线程 ， 具 
体 步 又 如 下 : 

(1) 启动 进程 查看 工具 ， 选 择 System 进程 ， 如 图 2-19 所 示 。 

(2) 双击 System 进程 ， 在 弹出 的 窗口 中 选择 Thread 选项 卡 ， 如 图 2-20 所 示 。 

(3) 可 以 看 到 线程 列表 中 最 后 两 个 线程 。 这 两 个 线程 一 直 不 停 地 检查 注册 表 键 
HKLM\SYSTEMN\CurrentControlSet\Services\ 下 这 个 驱动 的 值 ， 如 果 删 除 马上 又 会 生成 。 这 
两 个 线程 虽然 看 到 但 是 没有 办 法 杀 掉 ， 会 提示 没有 权限 。 

3. 清除 方法 

前 面谈 到 该 病毒 的 启动 方式 是 通过 驱动 的 方式 来 启动 的 ， 那 么 首先 要 找到 对 应 的 驱动 
程序 启动 配置 ， 具 体 步骤 如 下 。 
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2-19 ”Process Explorer 窗口 图 2-20 ”System 进程 的 线程 信息 


(1) 运行 自 启动 设置 查看 工具 Autoruns， 如 图 2-21 所 示 。 


2-21 自 启动 查看 工具 
(2) 选择 菜单 Options | Code Signatures (验证 代码 签名 ) 命令 和 Hide Signed Microsoft 
Entries (隐藏 已 签名 的 微软 项 ) 命令 ， 然 后 按 F5 键 ， 重 新 获取 启动 信息 ， 单 击 窗口 上 的 
Driver 选项 卡 ， 显 示 没 有 得 到 微软 签名 的 驱动 启动 项 ， 如 图 2-22 所 示 。 


lolxl| 


图 2-22 自 启动 的 驱动 设置 
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(3) 可 以 通过 驱动 名 称 、 驱 动 描 述 、 驱 动 开发 商 以 及 驱动 文件 的 位 置 和 驱动 文件 名 称 
来 判断 出 病毒 所 安装 的 驱动 ， 然 后 将 驱动 项 前 面 的 复 选 框 取消 选择 即 可 。 

找 出 驱动 文件 的 位 置 和 名 称 了 ， 但 是 此 时 还 不 能 对 这 两 个 文件 进行 删除 ， 因 这 两 个 文 
件 正在 被 系统 使 用 ， 下 面 是 删除 文件 的 步骤 。 


提示 : 进行 此 项 操作 前 首先 选择 Process Explorer 窗口 上 的 View | Show Lower Pane 命 
令 ， 使 其 处 于 选择 状态 ， 然 后 选择 View | Lower Pane View | Handles 命令 ,使 


其 也 处 于 选择 状态 。 


(1) 在 Process Explorer 中 , 选择 Find | Find Handle 命令 ， 出 现 如 图 2-23 所 示 对 话 框 ， 
在 Handle or Type 文本 框 中 输入 刚才 发 现 的 驱动 文件 名 称 。 


图 2-23 ”查找 线程 句柄 
(2) 单 击 Search 按钮 ， 即 可 找到 依附 于 System 进程 的 病毒 线程 ， 找 到 病毒 线程 对 应 
的 Handle， 如 图 2-24 所 示 ， 右 击 该 项 ， 然 后 从 弹出 的 菜单 中 选择 Close Handle， 该 线程 就 


被 停止 了 。 


图 2-24 ”System 进程 句柄 
(3) 打开 资源 管理 器 ， 找 到 病毒 文件 的 位 置 ， 将 病毒 文件 删除 ， 这 样 就 完成 对 球 雪 病 
毒 的 手工 清除 了 。 


提示 : 手工 清除 病毒 的 几 个 基本 步骤 通常 是 首先 用 进程 查看 工具 ( Process Explorer ) 检查 
一 下 ， 看 看 有 什么 异常 的 进程 ， 然 后 用 自 启 动 设置 查看 工具 ( Autoruns ) 检查 ， 看 
有 什么 非法 进程 被 添加 到 启动 项 了 ， 通 过 这 两 种 方法 可 以 查看 常见 的 木马 病毒 。 
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2.4 计算 机 病毒 防范 措施 


计算 机 病毒 防范 措施 主要 包括 两 个 方面 的 内 容 。 一 是 计算 机 病毒 的 预防 ， 即 尽量 避免 
计算 机 系统 被 病毒 感染 ， 以 及 在 计算 机 病毒 未 造成 任何 破坏 之 前 将 其 清除 ， 另 一 个 是 当 计 
算 机 病毒 造成 破坏 时 ， 要 能 够 及 时 采取 补救 措施 ， 将 损失 减 小 到 最 低 并 总 结 经 验 ， 为 计算 
机 病毒 预防 提供 帮助 。 


2.4.1 计算 机 病毒 的 预防 


解决 计算 机 病毒 问题 的 最 有 效 方法 是 采取 积极 有 效 措施 ， 防 止 被 计算 机 病毒 所 感染 
为 了 达到 这 一 目的 ， 可 以 采取 如 下 措施 。 

1. 备份 重要 数据 

病毒 出 现 是 很 难 预测 的 ， 而 且 杀 毒 软件 也 不 能 保证 杀 掉 所 有 的 病毒 。 平 时 辛 辛 昔 苦 写 
的 论文 ， 编 的 程序 ， 找 的 资料 ， 公 司 的 账目 等 等 ， 总 不 希望 突然 被 病毒 所 毁 。 所 以 要 确保 
资料 安全 ， 备 份 是 很 重要 的 。 况 且 ， 备 份 时 要 根据 需要 备份 内 容 的 大 小 选择 合适 的 备份 媒 
体 ， 比 如 只 有 几 十 兆 的 资料 可 以 采用 优盘 ， 几 百 兆 的 文件 资料 可 以 选择 刻录 光盘 或 者 硬盘 
备份 。 不 过 ， 在 备份 前 要 确定 资料 是 完好 而 且 无 病毒 的 。 

备份 数据 需要 根据 数据 的 特点 来 进行 安排 ， 对 于 不 会 频繁 变动 和 使 用 的 数据 ， 采 用 刻 
录 光 盘 的 方式 来 备份 比较 合适 ， 而 且 备份 的 次 数 也 会 较 小 ， 对 于 需要 经 常 变动 和 使 用 的 文 
件 ， 通 常 采用 可 读 写 的 硬盘 来 备份 ， 因 为 这 样 使 用 的 时 候 非 常 方便 。 如 果 备 份 的 数据 量 比 
较 小 (包括 文件 大 小 和 文件 数量 ) 时 ， 可 以 通过 复制 粘贴 的 方式 来 备份 ， 如 果 需 要 备份 的 
数据 量 比较 大 ， 最 好 的 方式 就 是 选择 专门 的 备份 工具 软件 ， 还 有 对 于 特别 重要 的 计算 机 系 
统 ， 还 可 以 采取 双 硬 盘 备 份 ， 当 其 中 某 一 块 硬盘 损坏 时 ， 另 一 块 硬盘 可 以 保证 系统 中 数据 
的 完整 性 。 


提示 : 数据 备份 需要 根据 具体 情况 进行 分 析 ， 选 择 最 简单 、 有 效 的 备份 方式 ,确保 数 据 


安全 ， 在 特殊 情况 下 ， 可 以 考虑 采用 光盘 、 硬 盘 等 多 种 方式 进行 ， 还 要 养 成 经 党 
备份 的 习惯 。 


2. 安装 杀毒 软件 及 防火 墙 

安装 杀毒 软件 和 防火 墙 对 于 预防 病毒 是 十 分 重要 的 ， 虽然 不 能 保证 百 毒 不 侵 , 但 是 也 可 
以 让 计算 机 运行 得 比较 放心 。 杀 毒 软件 不 宜 安 装 多 个 ， 多 个 杀毒 软件 易 出 现 冲突 ， 而 且 占用 
系统 资源 ， 对 于 系统 来 说 反而 有 浆 而 无 利 。 防 火 墙 要 设置 好 ， 有 些 防 火 墙 ， 防 止 外 面 不 明 数 
据 流 入 的 确 很 有 效 ， 但 是 设置 不 当 ， 会 造成 有 些 程序 不 能 访问 网 络 ， 如 有 些 不 能 进行 网 络 视 
频 ， 不 能 传输 文件 ， 不 能 玩 游戏 ， 甚 至 会 造成 有 些 网 址 不 能 访问 。 设 置 好 防火 墙 相应 的 参数 
才能 让 网 络 生活 更 加 丰富 ， 但 是 防火 墙 允许 更 多 的 程序 访问 网 络 ， 就 相当 于 对 网 络 开放 更 多 
的 端口 ， 那 样 病毒 更 容易 入 侵 ， 所 谓 有 得 必 有 失 ， 应 该 根据 实际 情况 而 定 。 不 可 能 把 计算 机 
的 全 部 端口 都 封 掉 一 一 那样 的 话 的 确 病毒 进 不 了 ， 但 是 也 访问 不 了 计算 机 网 络 ， 另 外 ， 杀 毒 
软件 和 防火 墙 一 定 要 记得 经 常 升级 更 新 ， 那 样 才 能 应 付 大 部 分 新 出 的 病毒 。 
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提示 : 杀毒 软件 和 防火 墙 是 计算 机 安全 的 两 个 最 基本 的 措施 , 当 计算 机 系统 安装 完成 的 
时 候 ， 首 先 就 应 该 安装 这 两 种 软件 ， 条件 允许 还 应 该 安装 反 间 谍 软 件 ， 然 后 才能 
将 计算 机 接 入 到 网 络 ， 进行 系 统 升 级 ， 只 有 将 这 些 基 本 的 安全 措施 做 好 以 后 , 才 
能 浏览 网 页 。 
3. 为 系统 打上 补丁 
系统 漏洞 让 病毒 更 容易 入 侵 ， 因 此 ， 系 统 软件 官方 网 站 提供 了 很 多 漏洞 补丁 ， 其 实 装 
系统 的 时 候 就 应 该 马上 补 上 系统 补丁 ， 和 否则 ， 访 问 网 络 将 会 很 容易 染 上 病毒 。 


提示 : Windows 操作 系统 安装 完成 后 ， 需 要 做 的 一 件 重要 事情 就 是 连接 到 Windows 的 
补丁 网 站 打 补 丁 ,， 这样 才 能 保证 操作 系统 中 已 经 发 现 的 漏洞 被 修复 ,大 大 减 小 受 
到 网 络 攻 击 的 可 能 性 , 对 于 一 台新 安装 的 计算 机 , 在 没有 采取 任何 安全 措施 的 情 
况 下 , 只 需要 几 分 钟 的 时 间 就 会 受到 攻击 , 关于 为 操作 系统 打 补 丁 的 操作 方法 和 
步骤 请 参考 第 5 章 第 5.1.1 节 系 统 补丁 的 相关 内 容 。 

4. 及 时 关注 流行 病毒 以 及 下 载 专 杀 工具 

因为 很 多 流行 病毒 和 特殊 病毒 的 存在 ， 为 了 网 络 安全 以 及 及 时 防止 病毒 的 扩展 ， 很 多 

杀毒 软件 商 官 方 网 站 都 免费 提供 专 杀 工具 。 有 些 病毒 是 普通 杀毒 软件 不 行 而 需要 专 杀 工具 

才 行 的 ， 因 此 我 们 必须 经 常 留 意 官 方 所 公布 的 新 种 类 病毒 以 及 下 载 相 应 的 专 杀 工具 。 


: 当 计算 机 感染 病毒 ， 使 用 计算 机 上 的 杀毒 工具 扫描 ， 却 没有 发 现 病毒 时 ， 可 能 是 
计算 机 病毒 库 需 要 更 新 才能 查 杀 该 病毒 ,或 者 该 杀毒 软件 不 能 识别 当前 感染 的 病 


毒 (即使 将 病毒 库 升级 到 最 新 ) ， 此 时 需要 查找 病毒 专 杀 工 具 。 


5. 注意 使 用 计算 机 时 候 的 异 状 

有 时 候 使 用 着 计算 机 ， 会 突然 内 存 占 用 很 高 ， 或 者 CPU 使 用 率 很 高 ， 或 者 资源 〈 指 内 
存 和 CPU) 使 用 情况 忽 高 忽 低 ， 那 么 就 很 可 能 是 感染 病毒 了 ， 那 么 就 要 注意 了 。 

对 于 Windows 2000 和 Windows XP 以 及 Windows 2003 可 以 通过 查看 任务 管理 器 ， 结 
束 不 明 进 程 (Windows 98 和 Windows Me 可 以 通过 Ctrl+Altt+Del 查看 和 结束 不 明 进程 ); 
有 时 病毒 还 会 开机 自 启 ， 有 些 可 以 通过 输入 命令 msconfig 打开 系统 配置 使 用 程序 ， 管 理 开 
机 运行 程序 ( 注 : Windows 2000 没有 msconfig， 但 是 可 以 从 其 他 系统 复制 过 来 用 ) ， 让 病 
毒 不 能 开机 自 启 。 

6. 注意 局 域 网 共享 安全 

共享 文件 最 好 设置 密码 和 只 读 。 假 如 不 是 只 读 ， 那 么 网 络 上 病毒 侵入 您 的 计算 机 将 更 
加 容易 ， 密 码 也 可 以 有 效 保护 您 的 资料 不 轻易 被 他 人 所 取得 。 

7. 注意 网 页 邮件 病毒 

装 了 杀毒 软件 ， 也 要 注意 网 页 上 的 病毒 ， 毕 竟 没 有 一 种 杀毒 软件 是 万 能 的 。 上 不 明 网 
站 , 经 常 有 病毒 及 恶意 代码 , 修改 正 主页 ， 甚 至 上 不 了 网 ,这 种 现象 是 很 多 人 都 碰 到 过 的 。 
目前 ， 不 少 杀 毒 软件 和 系统 优化 软件 都 有 修复 正 功能 。 很 多 病毒 也 是 会 通过 邮件 传播 的 ， 
因此 ， 我 们 不 能 随便 下 载 邮件 中 的 不 明 附 件 ， 因 为 往往 病毒 就 隐藏 在 附件 当中 。 即 使 朋友 
寄 来 的 附件 下 载 了 也 要 通过 杀毒 软件 扫描 过 才能 打开 。 
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8. 注意 定期 扫描 系统 

虽然 可 能 经 常 开 着 杀毒 软件 ， 或 者 杀毒 软件 开 着 时 没 发 现 问题 ， 只 是 意味 着 当前 运 
行程 序 中 没有 病毒 ， 也 就 是 病毒 没有 发 作 ， 但 是 并 不 是 说 计算 机 上 就 没有 病毒 。 假 如 计 
算 机 上 有 病毒 ， 即 使 不 发 作 ， 那 也 很 可 能 在 您 的 文件 传输 中 ， 共 享 等 过 程 中 传染 给 别人 ， 
而 且 当 时 病毒 不 发 作 ， 可 能 以 后 就 很 容易 发 作 ， 所 以 ， 为 了 保证 系统 安全 ， 就 要 定期 扫 
描 系 统 。 

系统 没有 绝对 的 安全 ， 只 有 重视 病毒 预防 ， 计 算 机 才能 处 于 相对 的 安全 之 中 。 而 且 ， 
对 于 经 常 有 工作 资料 和 其 他 重要 资料 在 计算 机 上 的 用 户 ， 备 份 是 十 分 重要 的 。 


提示 : 定期 对 系统 进行 病毒 扫描 是 及 时 发 现 并 防范 计算 机 病毒 的 重要 方法 之 一 。 因为 计 
算 机 病毒 的 隐蔽 性 , 在 计算 机 病毒 未 发 作 以 前 对 系统 几乎 没有 影响 , 也 不 容易 被 
察觉 到 ， 所 以 在 此 时 通过 扫描 将 病毒 杀 掉 即 可 避免 病毒 造成 的 损失 。 


2.4.2 ”计算 机 病毒 感染 后 的 一 般 修复 处 理 方法 


一 旦 遇 到 计算 机 病毒 破坏 了 系统 也 不 必 惊 慌 失 措 ， 采 取 一 些 简单 的 办 法 可 以 杀 除 大 多 
数 的 计算 机 病毒 ， 恢 复 被 计算 机 病毒 破坏 的 系统 。 

下 面 介绍 计算 机 病毒 感染 后 的 一 般 修 复 处 理 方法 。 

(1) 首先 必须 对 系统 破坏 程度 有 一 个 全 面 的 了 解 ， 并 根据 破坏 的 程度 来 决定 采用 有 效 
的 计算 机 病毒 清除 方法 和 对 策 。 

如 果 受 破坏 的 大 多 是 系统 文件 和 应 用 程序 文件 ， 并 且 感 染 程度 较 深 ， 那 么 可 以 采取 重 
新 安装 系统 的 办 法 来 达到 清除 计算 机 病毒 的 目的 。 而 对 感染 的 是 关键 数据 文件 ， 或 比较 严 
重 的 时 候 ， 比 如 硬件 被 CIH 计算 机 病毒 破坏 ， 就 可 以 考虑 请 防 杀 计算 机 病毒 专家 来 进行 清 
除 和 数据 恢复 工作 。 

(2) 修复 前 ， 尽 可 能 再 次 备份 重要 的 数据 文件 。 

目前 防 杀 计 算 机 病毒 软件 在 杀毒 前 大 多 都 能 够 保存 重要 的 数据 和 感染 的 文件 ， 以 便 能 
够 在 误杀 或 造成 新 的 破坏 时 可 以 恢复 现场 。 但 是 对 那些 重要 的 用 户 数据 文件 等 还 是 应 该 在 
杀毒 前 手工 单独 进行 备份 ， 备 份 不 能 做 在 被 感染 破坏 的 系统 内 ， 也 不 应 该 与 平时 的 常规 备 
份 混在 一 起 。 

(3) 启动 防 杀 计算 机 病毒 软件 ， 并 对 整个 硬盘 进行 扫描 。 某 些 计算 机 病毒 在 Windows 
95/98 状态 下 无 法 完全 清除 〈 如 CIH 计算 机 病毒 ) ， 此 时 我 们 应 使 用 事先 准备 的 未 感染 计 
算 机 病毒 的 DOS 系统 软盘 启动 系统 ， 然 后 在 DOS 下 运行 相关 杀毒 软件 进行 清除 。 

(4) 发 现 计算 机 病毒 后 ， 我 们 应 利用 防 杀 计算 机 病毒 软件 清除 文件 中 的 计算 机 病毒 。 
如 果 可 执行 文件 中 的 计算 机 病毒 不 能 被 清除 ， 一 般 应 将 其 删除 ， 然 后 重新 安装 相应 的 应 用 
程序 。 

(5) 杀毒 完成 后 ,重新 启动 计算 机 ,再 次 用 防 杀 计算 机 病毒 软件 检查 系统 中 是 否 还 存 
在 计算 机 病毒 ， 并 确定 被 感染 破坏 的 数据 确实 被 完全 恢复 。 

(6) 此 外 ， 对 于 杀毒 软件 无 法 杀 除 的 计算 机 病毒 ， 还 应 将 计算 机 病毒 样本 送 交 防 杀 计 
算 机 病毒 软件 厂商 的 研究 中 心 ， 以 供 详细 分 析 。 


第 2 章 计算 机 病毒 防范 35 


2.4.3 ”诺顿 杀毒 软件 


为 了 理解 杀毒 软件 的 功能 以 及 使 用 杀毒 软件 的 方法 ， 在 此 以 诺顿 杀毒 软件 为 例 来 说 明 
杀毒 软件 的 使 用 方法 。 


提示 : 没有 任何 一 种 杀毒 软件 可 以 杀 掉 所 有 的 计算 机 病毒 ， 因 为 计算 机 病毒 千变万化 ， 
而 且 不 断 有 新 的 病毒 加 入 ,所 以 当 发 现 计算 机 出 现 感 染病 毒 症状 时 ， 可 以 首先 选 
择 一 种 杀毒 软件 来 进行 杀毒 .如 果 没 有 发 现 病毒 , 并 不 等 于 计算 机 没有 感染 病毒 ， 
可 以 换 一 种 杀毒 软件 来 进行 杀毒 , 即使 杀 掉 了 一 些 病毒 ， 如果 计算 机 还 是 有 感染 
病毒 症状 时 ， 还 需要 换 其 他 的 杀毒 软件 进行 杀毒 ， 或 者 通过 症状 查询 相关 信息 ， 
有 时 比较 新 的 病毒 可 能 使 用 一 些 专 杀 工 具 效 果 会 比较 好 。 


1. 杀毒 软件 升级 

程序 的 具体 操作 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”| Symantec Client Security |“Symantec Antivirus 客户 端 ” 
命令 ， 出 现 如 图 2-25 所 示 。 


(2) 单 击 窗口 右边 的 LiveUpdate 按钮 ， 出 现 LiveUpdate 对 话 框 ， 如 图 2-26 所 示 。 


[Easymane ww 企业 上 
Er TE 配 机 (历史 记 子 罗 各 jp 


Symantec AntiVirus 企业 版 


smatee hntiyirns Cornorate Flient WT 


wepdnte 相 从 局 成 同上 认 情 更 新。 语 置 


mm | mm | 
图 2-25 诺顿 杀毒 软件 界面 图 2-26 LiveUpdate 对 话 框 

(3) 单 击 “ 下 一 步 ” 按 钮 ， 系 统 开始 下 载 升级 程序 ， 如 图 2-27 所 示 。 

(4) 升级 程序 下 载 完 成 以 后 ， 出 现下 载 完成 提示 窗口 ， 如 图 2-28 所 示 。 


LiveUpdate 正在 查找 下 列 Symantec 产品 更 新 : 


好 Eneine 5 0 Definitions VE Avenee 1.5 
vange 1.5 BieroDefsz Corp] 只 Santec ha clieat m 
ivellpdate Livelpdate 
Symantec Antiyiras Corporate Client WT Sa hy Engine 5.0 Definitions 


获取 更 新 列表 ( 458.0 18 共 596.6 IB ) a 面 
| 
ad) ba | i <E-*D[ |] qi | ww | 
图 2-27 下 载 升级 程序 窗口 图 2-28 完成 升级 程序 下 载 


(5) 单 击 “完成 ”按钮 ，LiveUpdate 窗口 关闭 ， 出 现 “ 正 在 更 新 病毒 防护 文件 ”对 话 


框 ， 如 图 2-29 所 示 ， 提 示 正 在 安装 下 载 的 升级 程序 。 
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2. 扫描 计算 机 
查找 病毒 操作 步骤 如 下 。 
(1) 选择 “开始 ”|“ 程 序 ”| Symantec Client Security |“Symantec Antivirus 客户 端 ” 
命令 ， 出 现 如 图 2-25 所 示 。 
(2) 选择 左边 窗口 中 的 “Symantec Antivirus 企业 版 ” | “扫描 ”| “扫描 计算 机 ”命令 ， 


正在 更 新 病毒 防护 文件 


[| 


请 稍 候 。 病 毒 防护 文件 正在 更 新 当中 
大 eS 完成 后 ,您 的 计算 机 格 具有 最 新 的 


选项 ) 


—m | 
图 2-29 正在 更 新 病毒 防护 文件 提示 图 2-30 选择 扫描 项 目 窗口 


(3) 完成 选择 以 后 ， 单 击 窗口 右 下 角 的 “扫描 ”按钮 ， 系 统 开始 对 指定 范围 的 文件 进 
行 扫 描 ， 如 图 2-31 所 示 。 


FTTETYTETET 


图 2-31 扫描 计算 机 窗口 


提示 : 杀毒 软件 发 现 病毒 后 通常 会 直接 杀毒 ， 如 果 不 能 杀 掉 ， 就 会 对 感染 病毒 的 文件 进 
行 隔离 或 者 要 求 删除 文件 , 防止 其 感染 其 他 的 文件 。 当 提示 是 否 删 除 被 感染 的 病 
毒 文件 时 , 需要 考虑 被 感染 病毒 文件 是 否 是 系统 文件 或 者 有 用 的 数据 文件 。 如果 
是 的 话 ， 就 不 能 删除 文件 ， 否 则 会 造成 系统 无 法 启动 或 者 数据 丢失 ， 此 时 应 该 根 
据 文件 中 内 容 的 重要 性 ， 先 作 处 理 ， 比 如 将 内 容 复 制 出 来 ， 然 后 再 删除 文件 ， 对 
于 隔离 的 文件 可 以 在 适当 的 时 候 再 恢复 , 即 可 对 其 中 的 内 容 进行 备份 ， 所 以 杀毒 
软件 通常 情况 下 会 优先 选择 隔离 文件 。 
(4) 在 扫描 过 程 中 ， 杀毒 程序 会 自动 对 发 现 的 病毒 进行 清除 。 杀毒 过 程 需要 的 时 间 长 
度 与 文件 数量 的 多 少 有 关 。 
3. 杀毒 软件 配置 
杀毒 软件 配置 操作 步骤 如 下 。 
(1) 选择 “开始 ”|“ 程 序 ”| Symantec Client Security |“Symantec Antivirus 客户 端 ” 
命令 ， 出 现 如 图 2-25 所 示 。 
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(2) 选择 左边 窗口 中 的 “Symantec Antivirus 企业 版 ”| “配置 ”| “文件 系统 实时 防护 ” 
命令 ， 出 现 配 置 窗口 ， 如 图 2-32 所 示 。 


文件 系统 实时 防护 
RAAF 节 Et 
Ne | 主客 者 | = 
和 二 
CT Mess reon| [RT  ， 习 | 
如果 拉 作 兴 隆 )- 
[| 
| EP 
Hr EE 
二 
一 可 | 双 | 
图 2-32 配置 窗口 


(3) 选择 “启用 文件 系统 实时 防护 ” 复 选 框 ， 表 示 杀 毒 软件 会 实时 扫描 当前 操作 的 文 
件 ， 判 断 其 中 是 否 存在 病毒 ， 这 项 功能 对 保护 计算 机 免 受 病毒 攻击 具有 重要 作用 ， 比 如 当 
从 网 上 下 载 文件 时 ， 如 果 下 载 的 文件 中 包含 病毒 ， 系 统 就 会 给 出 提示 ， 同 时 对 该 文件 进行 
处 理 ， 防 止 其 中 的 病毒 感染 整个 系统 。 

(4) 在 “文件 类 型 ”组 合 框 中 ， 选 择 “ 全 部 类 型 ” 单 选 框 ， 这 样 对 系统 中 所 有 的 文件 
操作 都 进行 扫描 ， 从 而 防止 病毒 入 侵 系 统 ， 也 可 以 根据 特殊 的 需要 ， 只 扫描 指定 的 文件 类 
型 〈 根 据 扩 展 名 来 定 ) 。 

(5) 选择 “ 宏 病 毒 ” 选 项 卡 ， 在 “操作 ”下 拉 列 表 中 有 4 个 选项 ， 选 择 “ 清 除 文件 中 
的 病毒 ”， 这 是 效果 最 好 的 选择 ， 病 毒 被 清除 ， 文 件 不 受 影响 ， 在 “如 果 操 作 失 败 ” 下 拉 
列表 中 有 3 个 选项 ， 选 择 “ 隔 离 受 感染 的 文件 ”， 这 样 即使 病毒 清除 病毒 时 失败 ， 系 统 也 
会 将 被 病毒 感染 的 文件 隔离 开 来 ， 防 止 其 感染 其 他 文件 。 

(6) 选择 “ 非 宏 病毒 ”选项 卡 ， 将 其 设置 为 和 宏 病毒 的 设置 一 样 就 可 以 了 。 

(7) 在 “选项 ”组 合 框 中 选择 “在 受 感染 的 计算 机 上 显示 消息 ”， 然 后 单 击 “ 消 息 ” 
按钮 ， 出 现 如 图 2-33 所 示 。 

(8) 在 “显示 消息 ”对 话 框 中 可 以 设置 ， 当 发 现 计 算 机 病毒 时 ， 需 要 显示 与 计算 机 相 
关 的 哪些 信息 ， 以 便 对 计算 机 病毒 进行 处 理 。 需 要 了 解 这 里 设置 的 具体 意义 ， 可 以 单 击 “ 帮 
助 ”按钮 ， 出 现 如 图 2-34 所 示 。 


nbivirus (TM 企业 带 县 


全 TU 村 Symanec AMius 构 济 卫 IR 寺 | 在 ;1 咎 机上 及 示 的 并 息 ， 加 时 在 行 下 他 任 各 的 同 。 二 
因 ， 后 全 条 了 时 要 区 ， 机 攻打 和 ， 半 和 这 了 站 和 有 测 。 对 iD 
月 在 和 3 拉 后 量 示 有 关 俩 十 委 革 的 时 全 攻 乌 。 客 可 局 设 竺 显 示 消息 对 居 册 声音 客 要 。 

a 


和 让 全 消 自 参数 在 让 机 上 看 示 与 请 坦 世 相关 的 信息 。 在 计 和 机 上 显示 和 消息 可 名 用 


有 所作 :[ 兵 作 及 车 果 J] F 


图 2-33 ”病毒 提示 消息 格式 设置 图 2-34 帮助 窗口 
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(9) 通过 帮助 系统 提供 的 帮助 信息 ， 可 以 设置 成 在 发 现 计算 机 病毒 时 需要 得 到 的 信 
息 。 设 置 完 成 后 ， 单 击 “ 确 定 ”按钮 ， 让 设置 生效 。 

(10) 在 “选项 ”组 合 框 中 ， 选 择 “ 排 除 文件 和 文件 夹 ”， 单 击 “ 排 除 ” 按 钮 ， 可 以 
设置 不 需要 扫描 的 文件 类 型 和 文件 夹 , 通常 不 进行 这 样 的 设置 ， 因为 计算 机 病毒 种 类 繁多 ， 
感染 和 传播 的 方式 各 异 ， 如 果 对 某 些 类 型 的 文件 或 者 文件 夹 不 扫描 ， 那 么 很 可 能 病毒 就 会 
隐藏 在 这 些 地 方 。 

(11) 在 “驱动 器 类 型 ”组 合 框 中 ， 选 择 “ 网 络 ” 复 选 框 ， 这 样 当 计算 机 访问 其 他 计 
算 机 上 的 文件 时 ， 也 对 文件 进行 扫描 ， 如 果 发 现 病 毒 也 像 本 地 计算 机 一 样 进行 处 理 ， 这 样 
可 以 确保 在 访问 其 他 计算 机 时 避免 被 病毒 感染 。 

(12) 单 击 “高 级 ”按钮 ， 出 现 “ 文 件 系统 高 级 选项 ”对 话 框 ， 可 以 根据 需要 设置 灵 
活 的 选择 ， 如 图 2-35 所 示 。 

(13) 选择 “受到 访问 或 更 改 〈 创 建 、 打 开 、 移 动 、 复 制 或 运行 时 扫描 ) ” 单 选 框 ， 
确保 文件 在 有 可 能 被 病毒 感染 的 情况 下 进行 扫描 ， 以 最 大 程度 地 发 现 病毒 。 

(14) 在 “自动 启用 ”组 合 框 中 ， 选 择 “实时 防护 被 禁用 ” 复 选 框 ， 然 后 设置 一 个 时 
间 间 隔 来 重新 启动 实时 防护 ， 这 样 确保 实时 防护 不 会 因为 被 禁用 以 后 忘记 启用 而 造成 病毒 
的 入 侵 。 

(15) 在 “备份 选项 ”组 合 框 中 ， 选 择 “尝试 修复 前 备份 文件 ” 复 选 框 ， 这 样 当 文件 
因 修复 而 损坏 时 ， 还 可 以 用 其 备份 文件 ， 有 效 提 高 了 文件 的 安全 性 。 

(16) 在 “其 他 高 级 选项 ”组 合 框 中 ， 单 击 “ 启 发 式 ” 按 钮 ， 出 现 “ 启 发 式 扫描 选项 ” 
对 话 框 ， 如 图 2-36 所 示 ， 设 置 完成 单 击 “ 确 定 ” 按 钮 返回 。 


EE et 
备份 过 项 ee 
厅 尝试 修复 前 备份 文件 
三 其 他 高 级 选项 
局 发 式 0D 软驱 全) | 
Ce ] w | ww | 
图 2-35 文件 系统 高 级 选项 图 2-36 启发 式 扫描 选项 设置 


(17) 单 击 “软驱 ”按钮 出现 “检查 软盘 ”对 话 框 ， 如 图 2-37 所 示 ， 选 择 默认 设置 ， 
单 击 “ 确 定 ” 按 钮 返回 。 


图 2-37 软盘 设置 
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MY 


DD 


(18) 在 “文件 系统 高 级 选项 ”对 话 框 中 ， 单 击 “确定 ”按钮 ， 完 成 对 应 设置 。 
(19) 在 配置 窗口 中 ， 单 击 “ 确 定 ”按钮 ， 让 刚才 进行 的 所 有 设置 生效 。 


题 


KA 


. 简 述 计算 机 病毒 的 特点 。 

. 计算 机 病毒 有 哪些 危害 ? 

.计算 机 病毒 预防 包括 哪些 内 容 ? 

. 选择 一 种 杀毒 软件 来 安装 并 完成 对 计算 机 上 的 文件 进行 扫描 。 

. 在 Windows 进程 查看 中 查看 计算 机 的 运行 情况 ， 并 判断 是 否 有 异常 。 
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教学 提示 

从 本 质 上 看 ， 网 络 安全 就 是 网 络 上 的 信息 安全 。 信 息 安全 技术 主要 包括 监控 、 扫 描 、 
检测 、 加 密 、 认 证 、 防 攻击 、 防 病毒 以 及 审计 等 几 个 方面 ， 其 中 加 密 技术 是 信息 安全 的 核 
心 技 术 ， 已 经 渗透 到 大 部 分 安全 产品 之 中 ， 并 正 向 芯片 化 方向 发 展 。 

计算 机 加 密 技术 是 网 络 信 息 安 全 技术 的 核心 技术 之 一 ， 对 其 进行 深入 研究 ， 充 分 发 挥 
其 在 网 络 信息 安全 中 的 作用 具有 重要 意义 ， 尤 其 是 在 网 络 信息 安全 面临 “内 忧 外 患 ” 的 严 
峻 形势 下 更 是 如 此 。 本 章 将 对 计算 机 加 密 技 术 的 相关 知识 进行 讲解 ， 内 容 包 括 加 密 技 术 的 
基本 概念 、 常 见 的 加 密 算法 以 及 加 密 技 术 的 应 用 等 内 容 。 

通过 对 本 章 的 学 习 ， 对 数据 加 密 技 术 的 发 展 、 基 本 概念 、 加 密 算法 以 及 应 用 有 较 深入 
的 理解 ， 特 别 是 对 称 加 密 算 法 和 公开 密 钥 加 密 算 法 的 理解 。 在 实际 的 网 络 安全 规划 、 实 施 
过 程 中 充分 考虑 加 密 技 术 的 合理 、 有 效 利 用 ， 提 高 网 络 系统 的 安全 性 。 
教学 重点 

@ 加 密 技 术 的 基本 概念 。 

@ 对 称 加 密 算法 的 理解 。 

@ 公开 密 钥 算法 的 理解 。 

@ 加 密 技术 的 应 用 。 


3.1 数据 加 密 概 述 


目前 企业 面临 的 计算 环境 和 过 去 有 很 大 的 变化 ， 许 多 数据 资源 能 够 依靠 网 络 来 远程 存 
取 , 而 且 越 来 越 多 的 通信 依赖 于 公共 网 络 (如 Intemet) ， 而 这 些 环境 并 不 保证 实体 间 的 安 
全 通信 ， 数 据 在 传输 过 程 中 可 能 被 其 他 人 读 取 或 自 改 。 

加 密 将 防止 数据 被 查看 或 修改 ， 并 在 原本 不 安全 的 信道 上 提供 安全 的 通信 信道 ， 它 能 
达到 以 下 目的 。 

(1) 保密 性 : 防止 用 户 的 标识 或 数据 被 读 取 。 

(2) 数据 完整 性 ;防止 数据 被 更 改 。 

(3) 身份 验证 :确保 数据 发 自 特定 的 一 方 。 
3.1.1 数据 加 密 

密码 是 实现 秘密 通信 的 主要 手段 ， 是 隐蔽 语言 、 文 字 、 图 像 的 特种 符号 。 凡 是 用 特种 
符号 按照 通信 双方 约定 的 方法 把 电文 的 原型 隐蔽 起 来 ， 不 为 第 三 者 所 识别 的 通信 方式 称 为 
密码 通信 。 在 计算 机 通信 中 ,采用 密码 技术 将 信息 隐蔽 起 来 ， 再 将 隐蔽 后 的 信息 传输 出 去 ， 
使 信息 在 传输 过 程 中 即使 被 窍 取 或 截获 ， 窃 取 者 也 不 能 了 解 信息 的 内 容 ， 从 而 保证 信息 传 
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任何 一 个 加 密 系 统 至 少 包括 以 下 4 个 组 成 部 分 : 
(1) 未 加 密 的 报 文 ， 也 称 明文 ; 
(2) 加 密 后 的 报 文 ， 也 称 密 文 ; 

(3) 加 密 解密 设备 或 算法 ; 

(4) 解密 的 密 钥 。 

在 保障 信息 安全 各 种 功能 特性 的 诸多 技术 中 , 密码 技术 是 信息 安全 的 核心 和 关键 技术 ， 
如 图 3-1 所 示 。 通 过 数据 加 密 技术 ， 可 以 在 一 定 程度 上 提高 数据 传输 的 安全 性 ， 保 证 传输 
数据 的 完整 性 。 在 数据 加 密 系 统 中 ， 密 钥 控 制 加 密 和 解密 过 程 ， 一 个 加 密 系统 的 全 部 安全 
性 是 基于 密 钥 的 ， 而 不 是 基于 算法 ， 所 以 加 密 系 统 的 密 钥 管理 是 一 个 非常 重要 的 问题 。 


图 3-1 信息 安全 技术 的 体系 结构 图 
数据 加 密 过 程 就 是 通过 加 密 系统 把 原始 的 数字 信息 (明文 》， 按 照 加 密 算法 变换 成 与 
明文 完全 不 同 的 数字 信息 《〈 密 文 ) 的 过 程 ， 如 图 3-2 所 示 。 


图 3-2 加密 解密 过 程 示意 图 
数据 加 密 技术 是 为 提高 信息 系统 及 数据 的 安全 性 和 保密 性 ， 防 止 秘密 数据 被 外 部 破解 


所 采用 的 主要 技术 手段 之 一 。 按 照 作用 的 不 同 ， 数 据 加 密 技术 主要 分 为 数据 传输 、 数 据 存 
储 、 数 据 完整 性 的 鉴别 以 及 密 钥 管理 技术 4 种 。 

1. 数据 传输 加 密 技术 

数据 传输 加 密 技术 的 目的 是 对 传输 中 的 数据 流 加 密 ， 常用 的 方法 有 链 路 加 密 、 节 点 加 
密 和 端 到 端 加 密 。 

1) 链 路 加 密 

链 路 加 密 是 指 传输 数据 仅 在 物理 层 前 的 数据 链 路 层 进 行 加 密 ， 不 考虑 信 源 和 信 宿 ， 它 
用 于 保护 通信 节点 间 的 数据 ， 接 收 方 是 传送 路 径 上 的 各 台 节 点 机 ， 信 息 在 每 台 节点 机 内 都 
要 被 解密 和 再 加 密 ， 依 次 进行 ， 直 至 到 达 目 的 地 。 

2) 节点 加 密 

与 链 路 加 密 类 似 的 节点 加 密 方 法 ， 是 在 节点 处 采用 一 个 与 节点 机 相连 的 密码 装置 ， 密 
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文 在 该 装置 中 被 解密 并 被 重新 加 密 ， 明 文 不 通过 节点 机 ， 避 免 了 链 路 加 密 节点 处 易 受 攻 
的 缺点 。 

3) 端 到 端 加 密 

端 到 端 加 密 是 为 数据 从 一 端 到 另 一 端 提供 的 加 密 方式 。 数 据 在 发 送 端 被 加 密 ， 在 接收 
端 解密 ， 中 间 节 点 处 不 以 明文 的 形式 出 现 。 端 到 端 加 密 是 在 应 用 层 完成 的 。 

2. 数据 存储 加 密 技术 

数据 存储 加 密 技术 的 目的 是 防止 在 存储 环节 上 的 数据 失 密 ， 可 分 为 密 文 存储 和 存 取 控 
制 两 种 。 前 者 一 般 是 通过 加 密 算法 转换 、 附 加 密码 、 加 密 模 块 等 方法 实现 ， 后 者 则 是 对 用 
户 资格 、 权 限 加 以 审查 和 限制 ， 防 止 非法 用 户 存 取 数 据 或 合法 用 户 越权 存 取 数 据 。 

3. 数据 完整 性 鉴别 技术 

数据 完整 性 鉴别 技术 的 目的 是 对 介入 信息 的 传送 、 存 取 、 处 理 的 人 的 身份 和 相关 数据 
内 容 进 行 验证 ， 达 到 保密 的 要 求 ， 一 般 包 括 口 令 、 密 钥 、 身 份 、 数 据 等 项 的 鉴别 ， 系 统 通 
过 对 比 验证 对 象 输入 的 特征 值 是 否 符合 预先 设 定 的 参数 ， 实 现 对 数据 的 安全 保护 。 

4. 密 钥 管理 技术 

为 了 数据 使 用 的 方便 ， 数据 加 密 在 许多 场合 集中 表现 为 密 钥 的 应 用 ,因此 密 钥 往往 是 
保密 与 窃 密 的 主要 对 象 。 密 钥 的 媒体 有 磁卡 、 磁 带 、 磁 盘 、 半 导体 存储 器 等 。 密 钥 的 管理 
技术 包括 密 钥 的 产生 、 分 配 保存 、 更 换 与 销毁 等 各 环节 上 的 保密 措施 。 


3.1.2 基本 概念 


数据 加 密 的 基本 过 程 就 是 对 原来 为 明文 的 文件 或 数据 按 某 种 算法 进行 处 理 ， 使 其 成 为 
不 可 读 的 一 段 代码 ， 通 常 称 为 “ 密 文 ”， 使 其 只 能 在 输入 相应 的 密 钥 之 后 才能 显示 出 本 来 
的 内 容 ， 通 过 这 样 的 途径 来 达到 保护 数据 不 被 非法 人 窃取 、 阅 读 的 目的 。 该 过 程 的 逆 过 程 
为 解密 ， 即 将 该 编码 信息 转化 为 其 原来 数据 的 过 程 。 

1. 加 密 的 理由 

加 密 在 网 络 上 的 作用 就 是 防止 有 用 或 私密 信息 在 网 络 上 被 拦截 和 和 窃取。 一 个 简单 的 例 
子 就 是 密码 的 传输 ， 计 算 机 密码 极为 重要 ， 许 多 安全 防护 体系 是 基于 密码 的 ， 密 码 的 泄露 
在 某 种 意义 上 来 讲 意味 着 其 安全 体系 的 全 面 朋 溃 。 

通过 网 络 进行 登录 时 ， 所 输入 的 密码 以 明文 的 形式 被 传输 到 服务 器 ， 而 网 络 上 的 窃听 
是 一 件 极为 容易 的 事情 ,所 以 很 有 可 能 黑客 会 窃取 得 用 户 的 密码 ， 如 果 用 户 是 Root 用 户 或 
Administrator 用 户 ， 那 后 果 将 是 极为 严重 的 。 

如 果 公 司 在 进行 着 某 个 招标 项 目的 投标 工作 ， 工 作 人 员 通 过 电子 邮件 的 方式 把 他 们 单 
位 的 标书 发 给 招标 单位 ， 如 果 此 时 有 另 一 位 竞争 对 手 从 网 络 上 窃取 到 标书 ， 从 中 知道 投标 
的 标的 ， 那 后 果 将 是 怎样 ， 相 信 不 用 多 说 也 明白 。 

这 样 的 例子 实在 是 太 多 了 ， 解 决 上 述 难题 的 方案 就 是 加 密 ， 加 密 后 的 口令 即使 被 黑客 
获得 也 是 不 可 读 的 ， 加 密 后 的 标书 没有 收 件 人 的 私 钥 也 就 无 法 解 开 ， 标 书 成 为 一 大 堆 无 任 
何 实际 意义 的 乱码 。 总 之 ， 无 论 是 单位 还 是 个 人 在 某 种 意义 上 来 说 加 密 也 成 为 当今 网 络 社 
会 进行 文件 或 邮件 安全 传输 的 时 代 象 征 。 

数字 签名 就 是 基于 加 密 技 术 的 ， 它 的 作用 就 是 用 来 确定 用 户 是 否 是 真实 的 。 应 用 最 多 
的 还 是 电子 邮件 ， 如 当 用 户 收 到 一 封 电 子 邮 件 时 ， 邮 件 上 面 标 有 发 信人 的 姓名 和 信箱 地 址 ， 


Em 
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很 多 人 可 能 会 简单 地 认为 发 信人 就 是 信 上 说 明 的 那个 人 ， 但 实际 上 伪造 一 封 电子 邮件 对 于 
一 个 通常 人 来 说 是 极为 容易 的 事 。 在 这 种 情况 下 ， 就 要 用 到 加 密 技 术 基础 上 的 数字 签名 ， 
用 它 来 确认 发 信人 身份 的 真实 性 。 

类 似 数字 签名 技术 的 还 有 一 种 身份 认证 技术 ， 有 些 站 点 提供 入 站 FTP 和 WWW 服务 ， 
当然 用 户 通常 接触 的 这 类 服务 是 匿名 服务 ， 用 户 的 权力 要 受到 限制 ， 但 也 有 的 这 类 服务 不 
是 匿名 的 ， 如 某 公 司 为 了 信息 交流 提供 用 户 的 合作 伙伴 非 匿 名 的 FTP 服务 ， 或 开发 小 组 把 
他 们 的 Web 网 页 上 载 到 用 户 的 WWW 服务 器 上 ， 现 在 的 问题 就 是 ， 用 户 如 何 确 定 正在 访 
问 用 户 的 服务 器 的 人 就 是 用 户 认为 的 那个 人 ， 身 份 认 证 技术 就 是 一 个 好 的 解决 方案 。 

在 这 里 需要 强调 一 点 的 就 是 ， 文 件 加 密 不 只 用 于 电子 邮件 或 网 络 上 的 文件 传输 ， 其 实 
也 可 应 用 静态 的 文件 保护 ， 以 防 他 人 窃取 其 中 的 信息 。 

2. 两 类 加 密 方法 

加 密 技术 通常 分 为 两 大 类 : “对 称 式 ” 和 “ 非 对 称 式 ”。 

对 称 式 加 密 就 是 加 密 和 解密 使 用 同一 个 密 钥 ， 通 常 称 之 为 Session Key， 这 种 加 密 技术 
目前 被 广泛 采用 ， 如 美国 政府 所 采用 的 DES 加 密 标准 就 是 一 种 典型 的 “对 称 式 ” 加 密 法 ， 
它 的 Session Key 长 度 为 56 位 。 

非 对 称 式 加 密 就 是 加 密 和 解密 所 使 用 的 不 是 同一 个 密 钥 ， 通 常 有 两 个 密 钥 ， 称 为 “ 公 
钥 ” 和 “ 私 钥 ”， 它 们 两 个 必须 配对 使 用 ， 否 则 不 能 打开 加 密 文件 。 这 里 的 “ 公 钥 ”是 指 
可 以 对 外 公布 的 ，“ 私 钥 ” 则 不 能 ， 只 能 由 持 有 人 一 个 人 知道 。 它 的 优越 性 就 在 这 里 ， 因 
为 对 称 式 的 加 密 方法 如 果 是 在 网 络 上 传输 加 密 文件 就 很 难 把 密 钥 告诉 对 方 ， 不 管用 什么 方 
法 都 有 可 能 被 别人 窃听 到 。 而 非 对 称 式 的 加 密 方法 有 两 个 密 钥 ， 且 其 中 的 “ 公 钥 ”是 可 以 
公开 的 ， 也 就 不 怕 别 人 知道 ， 收 件 人 解密 时 只 要 用 自己 的 私 钥 即 可 ， 这 样 就 很 好 地 避免 了 
密 钥 的 传输 安全 性 问题 。 

3. 数据 摘要 算法 

摘要 是 一 种 防止 改动 的 方法 ， 其 中 用 到 的 函数 叫 摘要 函数 。 这 些 函 数 的 输入 可 以 是 任 
意 大 小 的 消息 ， 而 输出 是 一 个 固定 长 度 的 摘要 。 摘 要 有 这 样 一 个 性 质 ， 如 果 改 变 了 输入 消 
息 中 的 任何 东西 ， 甚 至 只 有 一 位 ， 输 出 的 摘要 将 会 发 生 不 可 预测 的 改变 ， 也 就 是 说 输入 消 
息 的 每 一 位 对 输出 摘要 都 有 影响 。 总 之 ， 摘 要 算法 从 给 定 的 文本 块 中 产生 一 个 数字 签名 ， 
数字 签名 可 以 用 于 防止 有 人 从 一 个 签名 上 获取 文本 信息 或 改变 文本 信息 内 容 和 进行 身份 认 
证 。 

数据 摘要 算法 是 密码 学 算法 中 非常 重要 的 一 个 分 支 ， 它 通过 对 所 有 数据 提取 指纹 信息 
以 实现 数据 签名 、 数 据 完整 性 校 验 等 功能 ， 由 于 其 不 可 逆 性 ， 有 时 候 会 被 用 做 敏感 信息 的 
加 密 。 数 据 摘 要 算法 也 被 称 为 哈 希 (Hash) 算法 或 散 列 算法 。 常 用 的 数据 摘要 算法 主要 有 
以 下 几 大 类 。 

1) CRC8、CRC16、CRC32 

CRC (Cyclic Redundancy Check， 循 环 元 余 校 验 ) 算法 出 现时 间 较 长 ， 应 用 也 十 分 广 
泛 ， 尤 其 是 通信 和 领域， 现在 应 用 最 多 的 就 是 CRC32 算法 ， 它 产生 一 个 4 字 节 (32 位) 的 
校 验 值 , 一般 是 以 8 位 十 六 进 制 数 。CRC 算法 的 优点 在 于 简便 、 速 度 快 , 严格 地 来 说 , CRC 
更 应 该 被 称 为 数据 校 验算 法 , 但 其 功能 与 数据 摘要 算法 类 似 , 因此 也 作为 测试 的 可 选 算法 。 

在 WinRAR、WinZIP 等 软件 中 ， 也 是 以 CRC32 作为 文件 校 验 算法 的 。 一 般 常见 的 
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简单 文件 校 验 (Simple File Verify, SFV) 也 是 以 CRC32 算法 为 基础 ， 它 通过 生成 一 个 后 组 
名 为 .SFV 的 文本 文件 , 这 样 任何 时 候 都 可 以 将 文件 内 容 CRC32 运算 的 结果 与 .SFV 文件 中 
的 值 对 比 来 确定 此 文件 的 完整 性 。 

2) MD2、 MD4、MD5 

这 是 应 用 非常 广泛 的 一 个 算法 家 族 ， 尤 其 是 MD5 (Message-Digest Algorithm 5， 消 息 
摘要 算法 版 本 5) ， 它 由 MD2、MD3、MD4 发 展 而 来 ， 由 Ron Rivest (RSA 公司 ) 在 1992 
年 提出 ， 目 前 被 广泛 应 用 于 数据 完整 性 校 验 、 数 据 (消息 ) 摘要 、 数据 加 密 等 MD2、MD4、 
MD5 都 产生 16 字 节 (128 位 ) 的 校 验 值 ， 一 般 用 32 位 十 六 进 制 数 表示 。MD2 的 算法 较 
慢 但 相对 安全 ，MD4 速度 很 快 ， 但 安全 性 下 降 ，MD5 比 MD4 更 安全 、 速 度 更 快 。 

目前 在 互联 网 上 进行 大 文件 传输 时 ， 都 要 用 MD5 算法 产生 一 个 与 文件 匹配 的 、 存 储 
MDS5 值 的 文本 文件 〈 后 缀 名 为 .mds 或 .md5sum) ， 这 样 接收 者 在 接收 到 文件 后 ， 就 可 以 利 
用 与 SFV 类 似 的 方法 来 检查 文件 完整 性 ， 目 前 绝 大 多 数 大 型 软件 公司 或 开源 组 织 都 是 以 这 
种 方式 来 校 验 数据 完整 性 ， 而 且 部 分 操作 系统 也 使 用 此 算法 来 对 用 户 密码 进行 加 密 ， 另 外 ， 
它 也 是 目前 计算 机 犯罪 中 数据 取证 的 最 常用 算法 。 

3) SHA1、SHA256、SHA384、SHA5S12 

SHA (Secure Hash Algorithm， 安 全 哈 希 算 法 ) 是 由 美国 专门 制定 密码 算法 的 标准 机 
构 一 -美国 国家 标准 技术 研究 院 (NIST) 制定 的 ，SHA 系列 算法 的 摘要 长 度 分 别 为 : SHA 
为 20 字 节 (160 位) ，SHA256 为 32 字 节 (256 位 ) ，SHA384 为 48 字 节 (384 位 ) ， 
SHA512 为 64 字 节 (512 位 ) ， 由 于 它 产 生 的 数据 摘要 的 长 度 更 长 ， 因 此 更 难以 发 生 碰 
撞 ， 因 此 也 更 为 安全 ， 它 是 未 来 数据 摘要 算法 的 发 展 方向 。 由 于 SHA 系列 算法 的 数据 摘 
要 长 度 较 长 ， 因 此 其 运算 速度 与 MD5 相 比 ， 也 相对 较 慢 。 

目前 SHA1 的 应 用 较为 广泛 ， 主 要 应 用 于 认证 授权 和 数字 证 书 中 ， 另 外 在 目前 互联 网 
中 流行 的 BT 软件 中 ， 也 是 使 用 SHA1 来 进行 文件 校 验 的 。 

4) RIPEMD、TIGER 等 

RIPEMD 是 Hans Dobbertin 等 3 人 在 对 MD4，MD5 缺陷 分 析 基 础 上 ， 于 1996 年 提出 
来 的 ， 有 4 个 标准 即 128、160、256 和 320， 其 对 应 输出 长 度 分 别 为 16 字 节 、20 字 节 、32 
字 节 和 40 字 节 。 

TIGER 由 Ross 在 1995 年 提出 。Tiger 号 称 是 最 快 的 Hash 算法 , 专门 为 64 位 机 器 做 了 
优化 。 

4. 密 钥 的 管理 

密 钥 既然 要 求 保密 ， 这 就 涉及 到 密 钥 的 管理 问题 ， 管 理 不 好 ， 密 钥 同样 可 能 被 无 意识 
地 泄露 ， 并 不 是 有 了 密 钥 就 高 枕 无 忧 ， 任 何 保密 也 只 是 相对 的 ， 是 有 时 效 的 。 要 管理 好 密 
钥 还 要 注意 以 下 几 个 方面 。 

1) 密 钥 的 使 用 要 注意 时 效 和 次 数 

如 果 用 户 可 以 一 次 又 一 次 地 使 用 同样 密 钥 与 别人 交换 信息 ， 那 么 密 钥 也 同 其 他 任何 密 
码 一 样 存在 着 一 定 的 安全 性 ， 虽 然 说 用 户 的 私 钥 是 不 对 外 公开 的 ， 但 是 也 很 难保 证 私 钥 长 
期 的 保密 性 ， 很 难保 证 长 期 以 来 不 被 泄露 。 如 果 某 人 偶然 地 知道 了 用 户 的 密 钥 ， 那 么 用 户 
曾经 和 另 一 个 人 交换 的 每 一 条 消息 都 不 再 是 保密 的 了 。 另 外 使 用 一 个 特定 密 钥 加 密 的 信息 
越 多 ， 提 供给 窃听 者 的 材料 也 就 越 多 ， 从 某 种 意义 上 来 讲 也 就 越 不 安全 了 。 
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因此 ， 一 般 强调 仅 将 一 个 对 话 密 钥 用 于 一 条 信息 中 或 一 次 对 话 中 ， 或 者 建立 一 种 按时 
更 换 密 钥 的 机 制 以 减 小 密 钥 暴露 的 可 能 

2) 多 密 钥 的 管理 

假设 在 某 机 构 中 有 100 个 人 ， 如 果 他 们 任意 两 个 人 之 间 可 以 进行 秘密 对 话 ， 那 么 总 共 需 
要 多 少 密 钥 呢 ? 每 个 人 需要 知道 多 少 密 钥 呢 ? 也 许 很 容易 得 出 答案 ， 如 果 任 何 两 个 人 之 间 要 
不 同 的 密 钥 , 则 总 共 需 要 4950 个 密 钥 , 而 且 每 个 人 应 记 住 99 个 密 钥 。 如 果 机 构 的 人 数 是 1000、 
10000 个 人 或 更 多 ， 这 种 办 法 就 显然 过 于 愚 春 了 ， 管 理 密 钥 将 是 一 件 可 怕 的 事情 。 

有 一 种 较 好 的 解决 方案 ， 它 是 由 MIT 发 明 的 ， 使 保密 密 钥 的 管理 和 分 发 变 得 十 分 容 
易 ， 但 这 种 方法 本 身 还 存在 一 定 的 缺点 。 为 能 在 因特网 上 提供 一 个 实用 的 解决 方案 ， 
Kerberos 建立 了 一 个 安全 的 、 可 信任 的 密 钥 分 发 中 心 (Key Distribution Center，KDC) ， 
每 个 用 户 只 要 知道 一 个 和 KDC 进行 会 话 的 密 钥 就 可 以 了 ， 而 不 需要 知道 成 百 上 千 个 不 同 
的 密 钥 。 

假设 用 户 甲 想 要 和 用 户 乙 进行 秘密 通信 ， 则 用 户 甲 先 和 KDC 通信， 用 只 有 用 户 甲 和 
KDC 知道 的 密 钥 进行 加 密 ， 用 户 甲 告 诉 KDC 他 想 和 用 户 乙 进行 通信 ，KDC 会 为 用 户 甲 
和 用 户 乙 之 间 的 会 话 随机 选择 一 个 对 话 密 钥 ， 并 生成 一 个 标签 ， 这 个 标签 由 KDC 和 用 户 
乙 之 间 的 密 钥 进行 加 密 ， 并 在 用 户 甲 启动 和 用 户 乙 对 话 时 ， 用 户 甲 会 把 这 个 标签 交 给 用 
户 乙 。 这 个 标签 的 作用 是 让 用 户 甲 确信 和 他 交谈 的 是 用 户 乙 ， 而 不 是 冒充 者 。 因 为 这 个 
标签 是 由 只 有 用 户 乙 和 KDC 知道 的 密 钥 进行 加 密 的 , 所 以 即使 冒充 者 得 到 用 户 甲 发 出 的 
标签 也 不 可 能 进行 解密 ， 只 有 用 户 乙 收 到 后 才能 够 进行 解密 ， 从 而 确定 了 与 用 户 甲 对 话 
的 人 就 是 用 户 乙 。 

当 KDC 生成 标签 和 随机 会 话 密 码 ， 就 会 把 它们 用 只 有 用 户 甲 和 KDC 知道 的 密 钥 进行 
加 密 ， 然 后 把 标签 和 会 话 密 钥 传 给 用 户 甲 ， 加 密 的 结果 可 以 确保 只 有 用 户 甲 能 得 到 这 个 信 
息 ， 只 有 用 户 甲 能 利用 这 个 会 话 密 钥 和 用 户 乙 进行 通话 。 同 理 ，KDC 会 把 会 话 密 钥 用 只 有 
KDC 和 用 户 乙 知 道 的 密 钥 加 密 ， 并 把 会 话 密 钥 传 给 用 户 乙 。 

用 户 甲 会 启动 一 个 和 用 户 乙 的 会 话 ， 并 用 得 到 的 会 话 密 钥 加 密 自己 和 用 户 乙 的 会 话 ， 
还 要 把 KDC 传 给 它 的 标签 传 给 用 户 乙 以 确定 用 户 乙 的 身份 ,然后 用 户 甲 和 用 户 乙 之 间 就 可 
以 用 会 话 密 钥 进 行 安全 的 会 话 了 ， 而 且 为 了 保证 安全 ， 这 个 会 话 密 钥 是 一 次 性 的 ， 这 样 黑 
客 就 更 难 进行 破解 了 。 同 时 由 于 密 钥 是 一 次 性 由 系统 自动 产生 的 ， 则 用 户 不 必 记 那么 多 密 
钥 了 ， 方 便 了 人 们 的 通信 。 

5. 数据 加 密 的 标准 

最 早 、 最 著名 的 保密 密 钥 或 对 称 密 钥 加 密 算 法 DES (Data Encryption Standard， 数 据 加 
密 标 准 ) 是 由 IBM 公司 在 20 世纪 70 年 代 发 展 起 来 的 , 并 经 政府 的 加 密 标 准 筛选 后 ,于 1976 
年 11 月 被 美国 政府 采用 ，DES 随后 被 美国 国家 标准 局 和 美国 国家 标准 协会 (American 
National Standard Institute，ANSI) 承认 。 

DES 使 用 56 位 密 钥 对 64 位 的 数据 块 进行 加 密 ， 并 对 64 位 的 数据 块 进行 16 轮 编码 。 
在 每 轮 编码 时 ， 一 个 48 位 的 “每 轮 ” 密 钥 值 由 56 位 的 完整 密 钥 得 出 来 。DES 用 软件 进行 
解码 需 用 很 长 时 间 ， 而 用 硬件 解码 速度 非常 快 。 幸 运 的 是 ， 当 时 大 多 数 黑客 并 没有 足够 的 
设备 制造 出 这 种 硬件 设备 。 在 1977 年 ， 人 们 估计 要 耗资 两 千 万 美元 才能 建成 一 个 专门 的 计 
算 机 用 于 DES 的 解密 ， 而 且 需 要 12 个 小 时 的 破解 才能 得 到 结果 。 当 时 DES 被 认为 是 一 种 
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十 分 强大 的 加 密 方法 。 

随 着 计算 机 硬件 的 速度 越 来 越 快 ， 制 造 一 台 这 样 特殊 的 机 器 的 花费 已 经 降 到 了 十 万 美 
元 左右 ， 而 用 它 来 保护 十 亿美 元 的 银行 ， 那 显然 是 不 够 保险 了 。 另 一 方面 ， 如 果 只 用 它 来 
保护 一 台 普 通 服务 器 ,那么 DES 确实 是 一 种 好 的 办 法 ， 因 为 黑客 绝 不 会 仅仅 为 入 侵 一 个 服 
务 器 而 花 那么 多 的 钱 破解 DES 密 文 。 

另 一 种 非常 著名 的 加 密 算法 就 是 RSA 了 ，RSA (Rivest-Shamir-Adleman) 算法 是 基于 
大 数 不 可 能 被 质 因数 分 解 假设 的 公 钥 体系 。 简 单 地 说 就 是 找 两 个 很 大 的 质数 ， 一 个 对 外 公 
开 的 为 “ 公 和 钥 ” (Prblic key) ， 另 一 个 不 告诉 任何 人 ， 称 为 “ 私 钥 ” (Private key) 。 这 两 
个 密 钥 是 互补 的 ， 也 就 是 说 用 公 钥 加 密 的 密 文 可 以 用 私 钥 解密 ， 反 过 来 也 一 样 。 

假设 用 户 甲 要 寄 信 给 用 户 乙 ， 他 们 互相 知道 对 方 的 公 钥 。 甲 就 用 乙 的 公 钥 加 密 邮 件 寄 
出 ， 乙 收 到 后 就 可 以 用 自己 的 私 钥 解密 出 甲 的 原文 。 由 于 别人 不 知道 乙 的 私 铀 ， 所 以 即使 
是 甲 本 人 也 无 法 解密 那 封 信 ， 这 就 解决 了 信件 保密 的 问题 。 另 一 方面 ， 由 于 每 个 人 都 知道 
乙 的 公 钥 ， 他 们 都 可 以 给 乙 发 信 ， 那 么 乙 怎么 确信 是 不 是 甲 的 来 信 呢 ? 那 就 要 用 到 基于 加 
密 技术 的 数字 签名 了 。 

甲 用 自己 的 私 钥 将 签名 内 容 加 密 ， 附 加 在 邮件 后 ， 再 用 乙 的 公 钥 将 整个 邮件 加 密 〈 注 
意 这 里 的 次 序 ， 如 果 先 加 密 再 签名 的 话 ， 别 人 可 以 将 签名 去 掉 后 签 上 自己 的 签名 ， 从 而 自 
改 了 签名 ) 。 这 样 这 份 密 文 被 乙 收 到 以 后 ， 乙 用 自己 的 私 钥 将 邮件 解密 ， 得 到 甲 的 原文 和 
数字 签名 ， 然 后 用 甲 的 公 钥 解密 签名 ， 这 样 一 来 就 可 以 确保 两 方面 的 安全 了 。 


3.2 ”对 称 加 密 算法 


对 称 算法 就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 成 立 。 在 大 多 数 对 称 算 
法 中 ， 加 密 密 钥 和 解密 密 钥 是 相同 的 。 对 称 加 密 算法 也 叫 秘密 密 钥 算法 或 单 密 钥 算法 ， 要 
求 发 送 者 和 接收 者 在 安全 通信 之 前 ， 商 定 一 个 密 钥 。 对 称 算法 的 安全 性 依赖 于 密 钥 ， 泄 露 
密 钥 就 意味 着 任何 人 都 能 对 消息 进行 加 密 和 解密 。 

对 称 算法 可 分 为 两 类 : 序列 密码 〈 流 密码 ) 与 分 组 密码 。 

序列 密码 一 直 是 作为 军 方 和 政府 使 用 的 主要 密码 技术 之 一 ， 它 的 主要 原理 是 ， 通 过 伪 
随机 序列 发 生 器 产生 性 能 优良 的 伪 随 机 序列 ， 使 用 该 序列 加 密 信 息 流 ， 逐 位 加 密 得 到 密 文 
序列 ， 所 以 ， 序 列 密码 算法 的 安全 强度 完全 决定 于 伪 随 机 序列 的 好 坏 。 伪 随机 序列 发 生 器 
是 指 输入 真 随机 的 较 短 的 密 钥 〈 种 子 ) 通过 某 种 复杂 的 运算 产生 大 量 的 伪 随 机 位 流 。 

序列 密码 算法 将 明文 逐 位 转换 成 密 文 。 该 算法 最 简单 的 应 用 如 图 3-3 所 示 。 密 钥 流 发 
生 器 输出 一 系列 比特 流 : 及 ，K，Ks，…，Ki。 密 钥 流 跟 明文 比特 流 Pi,， P,Ps,…, 局 ， 
进行 异 或 运算 产生 密 文 比特 流 。 


Ci=P:@K:i 
在 解密 端 ， 密 文 流 与 完全 相同 的 密 钥 流 异 或 运算 恢复 出 明文 流 。 
了 i=Ci@Ki 
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图 3-3 序列 密码 


对 于 一 个 序列 如 果 对 所 有 的 i 总 有 Kitp=K;， 则 序列 是 以 p 为 周期 的 ,满足 条 件 的 最 小 
的 称 为 序列 的 周期 。 密 钥 流 发 生 器 产生 的 序列 周期 应 该 足够 的 长 ， 如 250。 

于 移 位 寄存 器 的 序列 密码 应 用 十 分 广泛 。 一 个 反馈 移 位 寄存 器 由 两 部 分 组 成 ， 移 位 
寄存 器 和 反馈 函数 。 移 位 寄存 器 的 长 度 用 位 表示 ， 如 果 是 n 位 长 ， 称 为 n 位 移 位 寄存 器 。 
移 位 寄存 器 每 次 向 右 移 动 一 位 ， 新 的 最 左边 的 位 根据 反馈 函数 计算 得 到 ， 移 位 寄存 器 输出 
的 位 是 最 低位 ， 如 图 3-4 所 示 。 


[I | | 
EK WE 名 位 


图 3-4 ”反馈 移 位 寄存 器 
最 简单 的 反馈 移 位 寄存 器 是 线形 反馈 移 位 寄存 器 ， 反 馈 函 数 是 寄存 器 中 某 些 位 简单 异 
或 ， 如 图 3-5 所 示 。 


反 饥 函数 


图 3-5 4 位 线形 反馈 移 位 寄存 器 

产生 好 的 序列 密码 的 主要 途径 之 一 是 利用 移 位 寄存 器 产生 伪 随 机 序列 , 典型 方法 如 下 。 

(1) 反馈 移 位 寄存 器 : 采用 非 线 性 反馈 函数 产生 大 周期 的 非 线 性 序列 。 

(2) 利用 线性 移 位 寄存 器 序列 加 非 线 性 前 馈 函 数 ， 产 生前 馈 序列 。 

(3) 钟 控 序列 , 利用 一 个 寄存 器 序列 作为 时 钟 控制 另 一 寄存 器 序列 (或 自己 控制 自己 ) 
来 产生 钟 控 序列 ， 这 种 序列 具有 大 的 线性 复杂 度 。 

分 组 密码 是 将 明文 分 成 固定 长 度 的 组 ( 块 ) ， 如 64 位 一 组 ， 用 同一 密 钥 和 算法 对 每 一 
块 加 密 ， 输 出 也 是 固定 长 度 的 密 文 。 
3.2.1 DES 算法 及 其 基本 思想 


DES 是 Data Encryption Standard〈 数 据 加 密 标 准 ) 的 缩写 。 它 是 由 IBM 公司 研制 的 一 
种 加 密 算法 , 美国 国家 标准 局 于 1977 年 公布 把 它 作 为 非 机 要 部 门 使 用 的 数据 加 密 标准 。 它 
主要 用 于 民用 敏感 信息 的 加 密 ， 后 来 被 国际 标准 化 组 织 接受 作为 国际 标准 。 

DES 主要 采用 替换 和 移 位 的 方法 加 密 . 它 用 56 位 密 钥 对 64 位 二 进 制 数据 块 进行 加 密 ， 
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每 次 加 密 可 对 64 位 的 输入 数据 进行 16 轮 编码 , 经 一 系列 蔡 换 和 移 位 后 , 输入 的 64 位 原始 
数据 转换 成 完全 不 同 的 64 位 输出 数据 。 

DES 算法 仅 使 用 最 大 为 64 位 的 标准 算术 和 逻辑 运算 , 运算 速度 快 ， 密 钥 生产 容易 ， 适 
合 于 在 当前 大 多 数 计算 机 上 用 软件 方法 实现 ， 同 时 也 适合 于 在 专用 芯片 上 实现 。 

DES 算法 的 弱点 是 不 能 提供 足够 的 安全 性 , 因为 其 密 钥 容量 只 有 56 位 ,由 于 这 个 原因 ， 
后 来 又 提出 了 三 重 DES 或 3DES 系统 , 使 用 3 个 不 同 的 密 钥 对 数据 块 进行 两 次 或 三 次 加 密 ， 
该 方法 比 进行 普通 加 密 的 三 次 快 。 其 强度 大 约 和 112 位 的 密 钥 强 度 相 当 。 

1. 算法 框架 

DES 对 64 位 的 明文 分 组 M 进行 操作 ，M 经 过 一 个 初始 置换 卫 置换 成 wo， 将 mo 明文 
分 成 左 半 部 分 和 右 半 部 分 mo=(Lo，Ro)， 各 32 位 长 。 然 后 进行 16 轮 完全 相同 的 运算 ， 这 些 
运算 被 称 为 函数 ， 在 运算 过 程 中 数据 与 密 钥 结合 。 经 过 16 轮 后 ， 左 、 右 半 部 分 合 在 一 起 
经 过 一 个 末 置 换 ， 这 样 就 完成 了 。 

在 每 一 轮 中 ， 密 钥 位 移 位 ， 然 后 再 从 密 钥 的 56 位 中 选 出 48 位 。 通 过 一 个 扩展 置换 将 
数据 的 右 半 部 分 扩展 成 48 位 ， 并 通过 一 个 异 或 操作 替代 成 新 的 32 位 数据 ， 在 将 其 置换 一 
次 。 这 4 步 运 算 构成 了 函数 J。 然后 , 通过 另 一 个 异 或 运算 , 函数 了 的 输出 与 左 半 部 分 结合 
其 结果 成 为 新 的 右 半 部 分 ， 原来 的 右 半 部 分 成 为 新 的 左 半 部 分 。 将 该 操作 重复 16 次 ， 就 实 
现 了 ， 如 图 3-6 所 示 。 


图 3-6 DES 算法 框图 


2. DES 解密 
在 经 过 所 有 的 代替 、 置 换 、 异 或 盒 循 环 之 后 ， 你 也 许 认为 解密 算法 与 加 密 算法 完全 不 
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同 。 恰 恰 相 反 ， 经 过 精心 选择 的 各 种 操作 ， 获 得 了 一 个 非常 有 用 的 性 质 : 加 密 和 解密 使 / 


相同 的 算法 。 
DES 加 密 和 解密 唯一 的 不 同 是 密 钥 的 次 序 相 反 。 如 果 各 轮 加 密 密 钥 分 别 是 Ki1，K， 
Ks，*"…，Kie， 那 么 解密 密 钥 就 是 Kie，Kis,，Kia, …， Ki。 


3.2.2 ”DES 算法 的 安全 性 分 析 


在 DES 的 加 密 过 程 中 ,之 所 以 选择 16 次 函数 的 运算 ,是 因为 对 低 于 16 轮 的 任意 DES 
的 已 知 明文 攻击 要 比 穷 举 攻击 更 为 有 效 , 而 当 运 算 次 数 恰好 有 16 轮 的 时 候 ， 只 有 穷 举 攻击 
最 有 效 ， 所 以 在 分 析 数 据 加 密 标准 的 安全 性 时 可 以 用 穷 举 法 攻击 为 例 来 分 析 。 所 谓 穷 举 法 ， 
就 是 已 知 密 文 C 和 它 对 应 的 明文 Pp， 用 一 切 可 能 的 密 钥 加 密 P， 直 到 EP，K)=C。 这 时 所 
用 的 密 钥 天 即 为 攻击 者 所 要 破译 的 密码 。 

虽然 DES 密 钥 的 长 度 为 64 位 , 但 为 了 确保 密 钥 不 发 生 错 误 , 每 个 字 节 的 第 8 位 实际 
上 是 作为 奇偶 校 验 的 ， 所 以 实际 起 作用 的 只 有 56 位 ， 故 在 知道 明文 和 密 文 的 情况 下 只 要 
用 穷 举 法 256 次 就 能 算出 密码 ， 这 在 过 去 是 很 难 做 到 的 ， 即 使 能 用 上 万 台 小 型 机 来 进行 
运算 并 破译 出 来 ， 结 果 也 是 得 不 偿 失 ， 但 是 现在 的 计算 条 件 则 完全 可 以 用 可 接受 的 代价 
算出 DES 密码 来 。 况 且 在 弱 密 钥 等 极端 情况 下 ，DES 安全 性 将 会 受到 更 大 的 影响 。 所 以 
提高 DES 的 安全 性 成 为 越 来 越 迫切 的 问题 。 为 此 ， 我 们 在 设计 时 可 以 尝试 几 种 经 过 变形 
的 DES 算法 。 

(1) 独立 子 密 钥 法 

如 果 我 们 在 DES 的 加 密 过 程 中 使 用 独立 的 子 密 钥 ， 而 不 是 由 单一 64 位 密 钥 产 生 的 互 
相 联系 的 子 密 钥 ， 由 于 16 轮 的 运算 每 轮 都 需要 48 位 密 钥 ， 这 就 意味 着 这 种 变形 后 的 DES 
算法 的 密 钥 长 度 将 变 成 为 768 位 。 如 果 用 穷 举 法 来 攻击 ， 这 个 攻击 的 复杂 性 将 达到 2 ”，， 
但 是 这 种 变形 后 的 算法 对 差分 分 析 相 当 敏 感 ， 可 以 只 用 263 个 选择 明文 破译 ， 所 以 这 种 方 
法 并 不 能 使 DES 算法 变 得 更 安全 。 

(2) 增加 密 钥 长 度 法 

为 了 增加 DES 的 安全 性 ， 我 们 可 以 选择 一 种 增加 DES 密 钥 长 度 的 方法 ， 实 现 这 种 方 
法 最 简单 最 有 效 的 途径 就 是 多 重 DES 算法 。 

现在 最 常用 的 多 重 DES 算法 就 是 128 位 的 3DES 算法 ， 这 也 是 被 EMV 标准 唯一 采用 
的 对 称 密 钥 算法 。3DES 算法 是 用 两 个 64 位 的 密 钥 对 一 个 明文 进行 三 次 加 密 ， 整 个 加 密 过 
程 就 是 先 用 第 一 个 密 钥 对 明文 加 密 ， 再 用 第 二 个 密 钥 进行 解密 ,然后 再 用 第 一 个 密 钥 进行 
加 密 。 解 密 的 时 候 先 用 第 一 个 密 钥 解密 ， 再 用 第 二 个 密 钥 加 密 ， 最 后 用 第 一 个 密 钥 解密 ， 
用 公式 表示 就 是 : 


C=E (D (E (P; Ki) , K) , Ki) 
P=D (E (D(C, Ki) , Kz), KR) 
这 种 工作 模式 我 们 也 称 之 为 加 密 一 解密 一 加 密 模式 ， 即 EDE 模式 ， 它 不 会 受到 前 面 间 
相遇 攻击 的 影响 ， 用 穷 举 法 破解 它 将 达到 2”“， 这 在 现 阶段 是 非常 困难 的 ， 所 以 它 在 现 阶 
段 具 有 比较 高 的 安全 性 。 
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3.2.3 ”DES 加 密 算法 举例 


在 此 以 “ 世 优 文件 保镖 V1.0” 为 例 说 明 DES 加 密 算法 的 应 用 ,首先 从 网 上 下 载 安 装 程 
序 ， 安 装 到 本 地 计算 机 上 ， 因 为 本 软件 是 一 个 免费 软件 ， 所 以 可 以 从 各 个 大 的 下 载 网 站 进 
行 免费 下 载 。 

有 具体 的 操作 步骤 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 世 优 文 件 保镖 V1.0” 命 令 ， 出 现 登 录 密 码 输 入 窗口 ， 
如 图 3-7 所 示 。 

(2) 如 果 是 第 一 次 使 用 该 程序 ， 输 入 默认 密码 4usoft， 单 击 “ 登 录 ” 按 钮 ， 出 现 主 窗 
口 ， 如 图 3-8 所 示 。 


| 文件 保 径 登录 


3-7 ”登录 密码 窗口 图 3-8 文件 保镖 主 窗口 
(3) 从 “文件 管理 器 ”中 选择 需要 进行 保护 的 文件 ， 直 接 拖 放 到 “已 保护 文件 ”列表 
中 即 可 ， 找 到 需要 加 密 的 文件 ， 比 如 王 盘 下 的 Docl.doc 文件 ， 如 图 3-9 所 示 。 


DB EE 


图 3-9 ”被 加 密 的 文件 Docl.doc 


(4) 将 王 盘 根 目录 下 的 Docl.doc 文件 添加 到 “已 保护 文件 ”列表 中 ， 此 时 用 Word 
打开 Docl.doc 文档 ， 可 以 看 到 文档 的 内 容 ， 如 图 3-10 所 示 。 
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图 3-10 未 被 加 密 前 的 文件 内 容 
(5) 然后 关闭 “ 世 优 文件 保镖 ”窗口 ， 可 以 看 到 文件 的 扩展 名 被 改变 成 Docl.doc.spy， 
图 标 也 被 改变 了 ， 如 图 3-11 所 示 。 
(6) 对 加 密 后 的 文件 用 Word 打开 , 可 以 看 到 文档 内 容 如 图 3-12 所 示 , 文件 的 内 容 已 
经 被 加 密 处 理 ， 无 法 直接 通过 Word 对 文件 内 容 进 行 查看 ， 这 样 就 起 到 保护 文档 内 容 的 目 
的 了 。 


ETTTTTTTTEETETTETTEETTT pdote PORD 


EE 号 占 怠 | 全 久生 - pe CEE ll om | 
树 晶 | EE 


PROJECT (E:) ~、 Mh hen ho 


和 半 习 


uc: gltplec:paDDODDOODODDDOOoooooooooooooooooooooo 
Dooooooooooooooooooooooooooooooooooooooooooo 
DOOODoOooooocooooooooooooooooooooooooooooooo 
DOOODDOOOODODOOooODoDOOooooooooooooooooooooo 
DOODDDOOoOODODoOoooooDDDoooooooooooooooow_， 
"erDDDDOOOOD-: 〇 ODDCODODt 

DO Or OO* OOOOO 


sit ea 
mar eo 
OD me wm 


证 /11 (eb.c 四 束 * + 由 )zm4 * x0 重 邯 2b+ Vb | 
捕 型 / 歌 持 “mt 记 + % 提 她 Or ev6 坝 (fp. 口 Wr- 旺 。 相 


F EE > [i TT TT rE RCN 
图 3-11 加 密 后 的 文件 图 3-12 被 加 密 后 的 Word 文档 内 容 
(7) 重新 启动 “ 世 优 文件 保镖 ”程序 ， 此 时 Docl.doc.spy 文件 消失 了 ， 出 现 Docl.doc 
文件 ， 然 后 再 打开 文件 Docl.doc， 可 以 看 到 稳定 的 内 容 如 图 3-13 所 示 。 


NE) mk WED EAD ti0) IRC Fl PO 
i SE Ee EGR 本 
Er BE 因 册 必 - 三 二 三 妾 | 


a ED 
a 由 


图 3-13 加 密 后 的 文件 被 加 密 还 原 
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(8) 通过 上 述 的 过 程 即 可 看 出 ， 只 有 在 运行 “ 世 优 文件 保镖 ”程序 时 才能 看 到 文件 的 
内 容 〈 可 以 通过 密码 来 控制 ) ， 从 而 达到 加 密 保 护 文件 的 目的 。 


提示 : 需要 特别 注意 的 是 设置 的 密码 需要 保存 到 安全 的 地 方 , 一 方面 不 能 随意 让 他 人 知 
道 ， 另 一 方面 需要 自己 能 够 牢记 ， 一 旦 密码 丢失 ， 加 密 的 文件 也 无 法 恢复 了 。 


3.3 ”公开 密 钥 算法 


公开 密 钥 算法 中 用 作 加 密 的 密 钥 不 同 于 用 作 解 密 的 密 钥 ， 而 且 解 密 密 钥 不 能 根据 加 密 
密 钥 计算 出 来 〈 至 少 在 合理 假定 的 长 时 间 内 ) ， 所 以 加 密 密 钥 能 够 公开 ， 每 个 人 都 能 用 加 
密 密 钥 加 密 信息 ， 但 只 有 解密 密 钥 的 拥有 者 才能 解密 信息 。 在 公开 密 钥 算法 系统 中 ， 加 密 
密 钥 叫做 公开 密 钥 〈 简 称 公 钥 ) ， 解 密 密 钥 叫 做 秘密 密 钥 〈 私 有 密 钥 ， 简 称 私 钥 ) 。 

公开 密 钥 算法 主要 用 于 加 密 /解密 、 数 字 签名 、 密 钥 交 换 。 自 从 1976 年 公 钥 密码 的 思 
想 提 出 以 来 ， 国 际 上 已 经 出 现 了 许多 种 公 钥 密码 体制 ， 比 较 流行 的 有 基于 大 整数 因子 分 解 
问题 的 RSA 体制 和 Rabin 体制 、 基 于 有 限 域 上 的 离散 对 数 问题 的 DifferHellman 公 钥 体制 
和 ElGamal 体制 、 基 于 椭圆 曲线 上 的 离散 对 数 问题 的 Differ-Hellman 公 钥 体制 和 ElGamal 
体制 。 这 些 密码 体制 有 的 只 适合 于 密 钥 交换 ， 有 的 只 适合 于 加 密 / 解 密 。 


3.3.1 RSA 算法 及 其 基本 思想 


RSA (Rivest-Shamir-Adleman〉 适 用 于 数字 签名 和 密 钥 交换 。RSA 加 密 算法 是 目前 应 
用 最 广泛 的 公 钥 加 密 算法 ， 特 别 适 用 于 通过 Intemet 传送 的 数据 。 这 种 算法 以 它 的 三 位 发 
明 者 的 名 字 命名 :Ron Rivest、Adi Shamir 和 Leonard Adleman。 

RSA 算法 的 安全 性 基于 分 解 大 数字 时 的 困难 〈 就 计算 机 处 理 能 力 和 处 理 时 间 而 言 ) 。 
在 常用 的 公 钥 算 法 中 ，RSA 与 众 不 同 ， 它 能 够 进行 数字 签名 和 密 钥 交 换 运 算 。 

RSA 算法 既 能 用 于 数据 加 密 ， 也 能 用 于 数字 签名 ，RSA 的 理论 依据 为 : 寻找 两 个 大 素 
数 比较 简单 ， 而 将 它们 的 乘积 分 解 开 则 异常 困难 。 在 RSA 算法 中 ， 包含 两 个 密 钥 ， 加 密 密 
钥 和 解密 密 钥 ， 加 密 密 钥 是 公开 的 。 

RSA 算法 的 优点 是 密 钥 空间 大 ， 缺 点 是 加 密 速度 慢 ， 如 果 RSA 和 DES 结合 使 用 ， 则 
正好 弥补 RSA 的 缺点 。 即 DES 用 于 明文 加 密 ，RSA 用 于 DES 密 钥 的 加 密 。 由 于 DES 加 
密 速度 快 ， 适 合 加 密 较 长 的 报 文 ， 而 RSA 可 解决 DES 密 钥 分 配 的 问题 。 

1. RSA 算法 

首先 ， 找 出 三 个 数 ，p、g、r。 

其 中 p、g 是 两 个 相 异 的 质数 ，r 是 与 p-1)(g-1) 互 质 的 数 ， 

pP，、4、，、r 这 三 个 数 便 是 私 钥 。 

接着 ， 找 出 m， 使 得 rm= 1 mod (p-1)(q-1)， 

这 个 m 一定 存在 ， 因 为 + 与 p-1)(g-1) 互 质 ， 用 轧 转 相 除 法 就 可 以 得 到 了 。 

再 来 ， 计 算 n=pg， 

m、n 这 两 个 数 便 是 公 钥 。 

编码 过 程 是 ， 若 参数 为 a， 将 其 看 成 是 一 个 大 整数 ， 假 设 a<n， 
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如 果 a 三 nn 的 话 ， 就 将 a 表示 成 s 进 位 (s 万 n， 通 常 取 s=2^1) ， 

则 每 一 位 数 均 小 于 n， 然后 分 段 编 码 。 

接 下 来 ， 计算 =axmmodn， (0 二 bp<n)， 

2 就 是 编码 后 的 参数 。 

解码 的 过 程 是 ， 计 算 c=zrmodpa (0 二 c<pg); 

于 是 ， 解码 完毕 。 

如 果 第 三 者 进行 窃听 时 ， 他 会 得 到 几 个 数 : m、n (=pq) 、D， 

他 如 果 要 解码 的 话 ， 必 须 想 办 法 得 到 ”， 

所 以 ， 他 必须 先 对 n 作 质 因数 分 解 。 

要 防止 他 分 解 ， 最 有 效 的 方法 是 找 两 个 非常 大 的 质数 p、 gq， 

使 第 三 者 作 因 数 分 解 时 发 生 困难 。 

2. RSA 的 速度 

由 于 进行 的 都 是 大 量 数据 的 计算 ， 使 得 RSA 最 快 的 情况 也 比 DES 慢 上 10 倍 ， 无 论 是 
软件 还 是 硬件 实现 ， 速 度 一 直 是 RSA 的 缺陷 。 一 般 来 说 只 用 于 少量 数据 加 密 。 


3.3.2 ”RSA 算法 的 安全 性 分 析 


RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 算法 ， 也 易于 理解 和 操作 。RSA 是 被 
研究 得 最 广泛 的 公 钥 算法 ， 从 提出 到 现在 已 近 20 年 , 经 历 了 各 种 攻击 的 考验 ， 逐渐 为 人 们 
接受 ， 普 遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 

1. RSA 的 安全 性 

RSA 的 安全 性 依赖 于 大 数 分 解 ， 但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 明 ， 
因为 没有 证 明 破 解 RSA 就 一 定 需要 作 大 数 分 解 。 假 设 存在 一 种 无 须 分 解 大 数 的 算法 ， 那 
它 肯定 可 以 修改 成 为 大 数 分 解 算法 。 目 前, RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 大 数 分 解 。 
不 管 怎样 ， 分 解 n 是 最 显然 的 攻击 方法 。 现在， 人们 已 能 分 解 多 个 十 进 制 位 的 大 素数 。 因 
此 ， 模 数 n 必须 选 大 一 些 ， 因 具体 适用 情况 而 定 。 

RSA 的 主要 缺点 如 下 。 

(1) 产生 密 钥 很 麻烦 ， 受 到 素数 产生 技术 的 限制 ， 因 而 难以 做 到 一 次 一 密 。 

(2) 分 组 长 度 太 大 ， 为 保证 安全 性 ，n 至 少 也 要 600 位 以 上 ， 使 运算 代价 很 高 ， 尤 其 
是 速度 较 慢 ， 较 对 称 密码 算法 慢 几 个 数量 级 ; 且 随 着 大 数 分 解 技术 的 发 展 ， 这 个 长 度 还 在 
增加 ， 不 利于 数据 格式 的 标准 化 。 

2. RSA 的 选择 密 文 攻击 

RSA 在 选择 密 文 攻击 面前 很 脆弱 。 一 般 攻 击 者 是 将 某 一 信息 作 一 下 伪装 ， 让 拥有 私 钥 
的 实体 签署 。 然 后 ， 经 过 计算 就 可 得 到 它 所 想 要 的 信息 。 实 际 上 ， 攻 击 利 用 的 都 是 同一 个 
弱点 ， 即 存在 这 样 一 个 事实 : 乘 徊 保留 了 输入 的 乘法 结构 : 

(XM) “d=Xd*Md modn 

前 面 已 经 提 到 ， 这 个 固有 的 问题 来 自 于 公 钥 密码 系统 的 最 有 用 的 特征 一 一 每 个 人 都 能 
使 用 公 钥 。 但 从 算法 上 无 法 解决 这 一 问题 ， 主 要 措施 有 两 条 : 一 条 是 采用 好 的 公 钥 协议 ， 
保证 工作 过 程 中 不 对 其 他 实体 任意 产生 信息 解密 ， 不 对 自己 一 无 所 知 的 信息 签名 ; 另 一 条 
是 决 不 对 陌生 人 送 来 的 随机 文档 签名 ， 签 名 时 首先 使 用 哈 希 函数 对 文档 作 哈 希 处 理 ， 或 同 
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时 使 用 不 同 的 签名 算法 。 
3. RSA 的 公共 模 数 攻击 
若 系统 中 共有 一 个 模 数 ， 只 是 不 同 的 人 拥有 不 同 的 e 和 qd， 系统 将 是 危险 的 。 最 普遍 
的 情况 是 同一 信息 用 不 同 的 公 钥 加 密 ， 这 些 公 钥 共 模 而 且 互 质 ， 那 么 该 信息 无 需 私 钥 就 可 
得 到 恢复 。 设 尸 为 信息 明文 ， 两 个 加 密 密 钥 为 e 和 e， 公 共 模 数 是 mw， 则 : 
Ci=Peeimodm 
C=Pe,modn 
密码 分 析 者 知道 n、e!、e,、Ci 和 C,， 就 能 得 到 P。 
因为 e 和 e, 互 质 ， 故 用 Euclidean 算法 能 找到 x 和 s， 满 足 : 
r*e+s*e,=1 
假设 > 为 负数 ， 需 再 用 Euclidean 算法 计算 C^ (- 1) ， 则 
(CCIAC=1D DAC=TPD) * Os= Prinodn 
另外 ， 还 有 其 他 几 种 利用 公共 模 数 攻击 的 方法 。 总 之 ， 如 果 知 道 给 定 模 数 的 一 对 e 和 
qd， 一 是 有 利于 攻击 者 分 解 模 数 ， 一 是 有 利于 攻击 者 计算 出 其 他 成 对 的 e 和 4， 而 无 需 分 解 
模 数 。 解 决 办 法 只 有 一 个 ， 那 就 是 不 要 共享 模 数 n。 
RSA 的 小 指数 攻击 。 有 一 种 提高 RSA 速度 的 建议 是 使 公 钥 e 取 较 小 的 值 ， 这 样 会 使 
加 密 变 得 易于 实现 ， 速 度 有 所 提高 。 但 这 样 做 是 不 安全 的 ， 对 付 办 法 就 是 e 和 q 都 取 较 大 
的 值 。 


3.3.3 RSA 加 密 算法 举例 


在 前 两 节 中 介绍 了 对 称 加 密 算法 RSA 的 基本 知识 , 这 里 使 用 对 称 加 密 算法 来 实现 数据 
加 密 和 解密 ， 使 用 的 工具 名 称 为 Swriter， 具 体 的 操作 过 程 如 下 。 


提示 : Swriter.exe 程序 可 以 从 网 站 上 免费 下 载 。 


1， 建立 系统 密 钥 

使 用 Swriter 的 第 一 步 是 建立 系统 密 钥 , 将 自己 的 加 密 基数 和 公 和 钥 发 送 给 要 与 之 通信 的 
人 ， 并 将 其 他 人 的 加 密 基数 和 公 钥 输入 到 自己 的 系统 中 ， 
下 面 是 具体 的 操作 步 又 。 

(1) 当 第 一 次 运行 Swriter.exe 程序 时 , 出 现 如 图 3-14 
所 示 的 界面 ， 会 提示 建立 系统 密 钥 ， 建 立 系统 密 钥 以 后 就 


系统 密 钥 没有 建立 ， 要 现在 就 建立 吗 ? 


ED au | 


不 会 出 现 该 提示 了 。 图 3-14 ”建立 系统 密 钥 提示 


(2) 需要 使 用 该 工具 进行 加 密 的 第 一 部 就 是 需要 建 
并 系统 密 钥 ， 所 以 单 击 “ 是 ”按钮 ， 出 现 建立 系统 密 钥 窗口 ， 如 图 3-15 所 示 。 

(3) 在 “生成 /改变 密 钥 ”对 话 框 的 文本 框 中 输入 任意 文本 信息 ， 然 后 单 击 “ 确 定 ” 
按钮 ， 出 现 “ 公 开 密 钥 ” 窗 口 ， 如 图 3-16 所 示 。 

(4) 单 击 “确定 ”按钮 ， 系 统 密 钥 建立 完成 ， 在 Swriter.exe 的 当前 目录 下 生成 一 个 文 
件 名 为 PK.txt 的 文件 ， 如 图 3-17 所 示 ， 其 中 的 内 容 包括 自己 的 加 密 基 数 和 公开 密 钥 ， 可 以 
将 该 文件 发 送 给 需要 与 其 通信 的 人 ， 让 他 将 其 中 的 内 容 添加 到 其 通信 密 钥 簿 中 。 
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和 | 的 1 A 
a ee OT 
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tee CE] wl 
图 3-15 ”生成 /改变 密 钥 窗口 图 3-16 ”公开 密 钥 窗 口 
(5) 选择 “ 密 钥 管理 ”| “通信 密 钥 短 ”命令 ， 出 现 “通信 密 钥 短 ”对 话 框 ， 如 图 3-18 
所 示 。 


Fa 
文件 (E) 岗 辑 (E) 格式 (0) 帮助 (H) 中 i 

成 的 加 密 基数 是 ，9198521389895855595629918473615749719499397， aasz13698056555950200147361574971940 了 
7963684890931847253479516479932575296692194098380724559986 Ne 
|2394357465592166928239528814134778639429675895367173691612 Pe ta tt 


88631637358793932663914191639653937521 
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36 99 986573665144197455556333465932519335259879929324353 


爸 铠 [1707077022694067114023027900G01 422 1 7 30 
|55735651 4419745555633346503251 525907092932435 
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利加 | 。 注意， 路 的 更 改 半 立 如 生 训 


现 | 


图 3-17 系统 密 钥 加 密 基数 和 公 钥 图 3-18 通信 密 钥 德 

(6) 在 “通信 密 钥 短 ”窗口 中 ， 将 来 自 其 他 人 的 密 钥 系 统 的 加 密 基数 和 公 钥 以 及 姓名 
添加 到 通信 密 钥 短 中 。 

2. 加 密 文件 

加 密 文件 的 过 程 就 是 用 对 方 给 的 公 钥 来 加 密 文 件 ， 加 密 文件 的 基本 操作 步骤 如 下 。 

(1) 在 Swriter 启动 以 后 ， 在 窗口 中 输入 需要 加 密 的 信息 ， 如 图 3-19 所 示 。 

(2) 单 击 工 具 栏 上 的 “保存 ”按钮 ， 系 统 提示 是 否 需 要 对 文件 信息 进行 加 密 ， 提 示 对 
话 框 如 图 3-20 所 示 。 


Egg 
Dla) 7a lr? el 


下 
TN AEA 司 
用 iemet 信人， 这 入 和 三 和 出 交 名 让 世 ， Ron 条 


A 大 


) - 在 和 站 RSAS 


8，RSA 有 BE 人 灯 宇 ， 由 二 DES 人 二 人 名 


图 3-19 输入 需要 加 密 的 信息 图 3-20 ”是否 加 密 提示 对 话 框 
(3) 为 了 保证 信息 的 安全 ， 单 击 “ 是 ”按钮 ， 出 现 “ 加 密 保 存 ” 对 话 框 ， 这 里 可 以 对 
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文件 的 加 密 信息 进行 设置 ， 如 图 3-21 所 示 。 

(4) 在 “加 密 给 ”列表 框 中 ， 选 择 需要 将 文档 发 送 给 某 人 就 选择 某 人 ， 这 样 文档 就 可 
以 根据 他 所 提供 的 公 钥 进行 加 密 ， 当 文档 发 送 给 他 时 ， 他 就 可 以 用 自己 的 私 钥 进 行 解密 ， 
这 里 选择 sales， 选 中 “不 可 否认 性 数字 签名 ) ”， 然 后 单 击 “ 确 定 ”按钮 ， 将 文件 保存 
到 硬盘 上 。 

3. 解密 文件 

解密 文件 就 是 别人 用 我 们 的 公 钥 对 文件 加 密 后 发 送 给 我 们 ， 然 后 我 们 再 用 我 们 的 私 钥 
对 加 密 文件 进行 解密 ， 有 具体 操作 步骤 如 下 。 

(1) 双击 接收 到 的 加 密 文件 ， 出 现 提示 对 话 框 ， 提 示 是 否 需 要 解密 ， 如 图 3-22 所 示 。 


加 密 先 项 一 一 一 一 一 一 一 一 一 一 
mg lee 
FT (| 
三 完整 件 (日 前 谍 肥 ) 
Dm] un]| 
图 3-21 加 密 设置 图 3-22 ”提示 密 文 是 否 解密 


(2) 单 击 “ 是 ”按钮 ， 要 求 选择 发 送 者 的 姓名 ， 如 图 3-23 所 示 。 
(3) 因为 该 文档 是 sales 发 送 来 的 ， 所 以 这 里 选择 sales， 然 后 单 击 “ 确 定 ” 按 钮 ， 看 
到 文档 的 内 容 ， 如 图 3-24 所 示 。 


此 不 可 否认 信件 来 自 : 


四 


图 3-23 选择 信件 来 源 图 3-24 解密 后 的 文档 内 容 
(4) 如 果 在 第 一 步 单 击 “ 否 ”按钮 ， 将 得 到 密 文 ， 如 图 3-25 所 示 ， 可 以 看 出 显示 的 
是 加 密 过 的 内 容 。 


到 
TERTIAE 


图 3-25 没有 解密 的 密 文 
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(5) 通过 解密 后 的 内 容 和 解密 前 的 内 容 对 比 ， 可 以 看 出 两 者 之 间 无 法 看 出 关系 。 

通过 上 述 的 建立 密 钥 、 加 密 文件 和 解密 文件 三 个 过 程 , 就 可 以 实现 文件 的 安全 传输 了 ， 
因为 私 钥 不 会 在 网 络 上 传输 ， 从 而 保证 该 加 密 算法 可 以 有 效 防止 网 络 偷 听 的 方式 来 破解 文 
件 的 密码 。 


3.4 ”数据 加 密 技术 的 应 用 


从 保护 数据 的 角度 讲 ， 数 据 加 密 技术 的 应 用 主要 可 以 分 为 三 部 分 ， 即 数据 加 密 、 数 据 
传输 安全 和 身份 认证 管理 。 

(1) 数据 加 密 就 是 按照 确定 的 密码 算法 将 敏感 的 明文 数据 变换 成 难以 识别 的 密 文 数 
据 ， 通 过 使 用 不 同 的 密 钥 ， 可 用 同一 加 密 算 法 将 同一 明文 加 密 成 不 同 的 密 文 。 当 需要 时 ， 
可 使 用 密 钥 将 密 文 数据 还 原 成 明文 数据 ， 称 为 解密 。 这 样 就 可 以 实现 数据 的 保密 性 。 数 据 
加 密 被 公认 为 是 保护 数据 传输 安全 唯一 实用 的 方法 和 保护 存储 数据 安全 的 有 效 方法 ， 它 是 
数据 保护 在 技术 上 最 重要 的 防线 。 

(2) 数据 传输 安全 是 指数 据 在 传输 过 程 中 必须 要 确保 数据 的 安全 性 、 完 整 性 和 不 可 自 
改 性 。 

《3 ) 身 份 认证 的 目的 是 确定 系统 和 网 络 的 访问 者 是 否 是 合法 用 户 。 主 要 采用 登录 密码 、 
代表 用 户 身 份 的 物品 (如 智能 卡 、IC 卡 等 ) 或 反映 用 户 生理 特征 的 标识 鉴别 访问 者 的 身份 。 


3.4.1 数据 加 密 


数据 加 密 技术 是 最 基本 的 安全 技术 ， 被 誉 为 信息 安全 的 核心 ， 最 初 主要 用 于 保证 数据 
在 存储 和 传输 过 程 中 的 保密 性 。 它 通过 变换 和 置换 等 各 种 方法 将 被 保护 信息 置换 成 密 文 ， 
然后 再 进行 信息 的 存储 或 传输 ， 即 使 加 密 信息 在 存储 或 者 传输 过 程 为 非 授权 人 员 所 获得 ， 
也 可 以 保证 这 些 信 息 不 为 其 认 知 ， 从 而 达到 保护 信息 的 目的 。 该 方法 的 保密 性 直接 取决 于 
所 采用 的 密码 算法 和 密 钥 长 度 。 

根据 密 钥 类 型 不 同 可 以 将 现代 密码 技术 分 为 两 类 : 对 称 加 密 算法 〈 私 钥 密码 体系 ) 和 
非 对 称 加 密 算 法 〈 公 钥 密 码 体系 ) 。 在 对 称 加 密 算法 中 ， 数 据 加 密 和 解密 采用 的 都 是 同一 
个 密 钥 ， 因 而 其 安全 性 依赖 于 所 持 有 密 钥 的 安全 性 。 对 称 加 密 算 法 的 主要 优点 是 加 密 和 解 
密 速度 快 ， 加 密 强 度 高 ， 且 算法 公开 ， 但 其 最 大 的 缺点 是 实现 密 钥 的 秘密 分 发 困难 ， 在 大 
量 用 户 的 情况 下 密 钥 管理 复杂 ， 而 且 无 法 完成 身份 认证 等 功能 ， 不 便于 应 用 在 网 络 开放 的 
环境 中 。 目 前 最 著名 的 对 称 加 密 算法 有 数据 加 密 标准 DES 和 欧洲 数据 加 密 标准 IDEA 等 ， 
目前 加 密 强 度 最 高 的 对 称 加 密 算法 是 高 级 加 密 标准 AES 。 

对 称 加 密 算法 、 非 对 称 加 密 算法 和 不 可 逆 加 密 算法 可 以 分 别 应 用 于 数据 加 密 、 身 份 认 
证 和 数据 安全 传输 。 

1. 对 称 加 密 算 法 

对 称 加 密 算 法 是 应 用 较 早 的 加 密 算法 ， 技 术 成 熟 。 在 对 称 加 密 算法 中 ， 数 据 发 信 方 将 
明文 (原始 数据 和 加 密 密 钥 一 起 经 过 特殊 加 密 算法 处 理 后 ， 使 其 变 成 复杂 的 加 密 密 文 发 
送出 去 。 收 信 方 收 到 密 文 后 ， 若 想 解读 原文 ， 则 需要 使 用 加 密 用 过 的 密 钥 及 相同 算法 的 逆 
算法 对 密 文 进行 解密 ， 才 能 使 其 恢复 成 可 读 明文 。 在 对 称 加 密 算 法 中 ， 使 用 的 密 钥 只 有 一 
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个 ， 发 收 信 双 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 和 解密 ， 这 就 要 求解 密 方 事先 必须 知道 加 
密 密 钥 。 对 称 加 密 算法 的 特点 是 算法 公开 、 计 算 量 小 、 加 密 速 度 快 、 加 密 效 率 高 。 不 足 之 
处 是 ， 交 易 双 方 都 使 用 同样 钥匙 ， 安 全 性 得 不 到 保证 。 此 外 ， 每 对 用 户 每 次 使 用 对 称 加 密 
算法 时 ， 都 需要 使 用 其 他 人 不 知道 的 唯一 钥匙 ， 这 会 使 得 发 收 信 双 方 所 拥有 的 钥匙 数量 呈 
几何 级 数 增长 ， 密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算法 在 分 布 式 网 络 系统 上 使 用 较为 困 
难 ， 主 要 是 因为 密 钥 管理 困难 ， 使 用 成 本 较 高 。 在 计算 机 专 网 系统 中 广泛 使 用 的 对 称 加 密 
算法 有 DES、IDEA 和 AES。 

传统 的 DES 由 于 只 有 56 位 的 密 钥 ， 因 此 已 经 不 适应 当今 分 布 式 开 放 网 络 对 数据 加 密 
安全 性 的 要 求 。1997 年 RSA 数据 安全 公司 发 起 了 一 项 “DES 挑战 赛 ”的 活动 ， 志 愿 者 4 
次 分 别 用 4 个 月 、41 天 、56 个 小 时 和 22 个 小 时 破解 了 其 用 56 位 密 钥 DES 算法 加 密 的 密 
文 。 即 DES 加 密 算法 在 计算 机 速度 提升 后 的 今天 被 认为 是 不 安全 的 。 

AES 是 美国 联邦 政府 采用 的 商业 及 政府 数据 加 密 标 准 ， 预 计 将 在 未 来 几 十 年 里 代 蔡 
DES 在 各 个 领域 中 得 到 广泛 应 用 。AES 提供 128 位 密 钥 ， 因 此 ，128 位 AES 的 加 密 强度 是 
56 位 DES 加 密 强 度 的 1021 倍 还 多 .假设 可 以 制造 一 部 可 以 在 1 秒 内 破解 DES 密码 的 机 器 ， 
那么 使 用 这 台 机 器 破解 一 个 128 位 AES 密码 需要 大 约 149 亿 万 年 的 时 间 。 (更 深 一 步 比较 
而 言 , 宇宙 一 般 被 认为 存在 了 还 不 到 200 亿 年 ) 因此 可 以 预计 , 美国 国家 标准 局 倡导 的 AES 
即将 作为 新 标准 取代 DES。 

2. 不 对 称 加 密 算法 

不 对 称 加 密 算法 使 用 两 把 完全 不 同 但 又 是 完全 匹配 的 一 对 钥匙 一 - 公 钥 和 私 钥 ,在 使 用 
不 对 称 加 密 算法 加 密 文件 时 ， 只 有 使 用 匹配 的 一 对 公 钥 和 私 钥 ， 才 能 完成 对 明文 的 加 密 和 
解密 过 程 。 加 密 明文 时 采用 公 钥 加 密 ， 解 密 密 文 时 使 用 私 钥 才 能 完成 ， 而 且 发 信 方 (加 密 
者 ) 知道 收 信 方 的 公 钥 ， 只 有 收 信 方 (解密 者 ) 才 是 唯一 知道 自己 私 钥 的 人 。 不 对 称 加 密 
算法 的 基本 原理 是 ， 如 果 发 信 方 想 发 送 只 有 收 信 方 才能 解读 的 加 密 信息 ， 发 信 方 必须 首先 
知道 收 信 方 的 公 钥 ， 然 后 利用 收 信 方 的 公 钥 来 加 密 原 文 ; 收 信 方 收 到 加 密 密 文 后 ， 使 用 自 
己 的 私 钥 才能 解密 密 文 。 显 然 ， 采 用 不 对 称 加 密 算法 ， 收 发 信 双 方 在 通信 之 前 ， 收 信 方 必 
须 将 自己 早已 随机 生成 的 公 钥 送 给 发 信 方 ， 而 自己 保留 私 钥 。 由 于 不 对 称 算法 拥有 两 个 密 
钥 , 因而 特别 适用 于 分 布 式 系统 中 的 数据 加 密 。 广泛 应 用 的 不 对 称 加 密 算法 有 RSA 算法 和 
美国 国家 标准 局 提出 的 DSA。 以 不 对 称 加 密 算法 为 基础 的 加 密 技术 应 用 非常 广泛 。 

3. 不 可 逆 加 密 算 法 

不 可 逆 加 密 算法 的 特征 是 加 密 过 程 中 不 需要 使 用 密 钥 ， 输 入 明文 后 由 系统 直接 经 过 加 
密 算法 处 理 成 密 文 ， 这 种 加 密 后 的 数据 是 无 法 被 解密 的 ， 只 有 重新 输入 明文 ， 并 再 次 经 过 
同样 不 可 逆 的 加 密 算 法 处 理 ， 得 到 相同 的 加 密 密 文 并 被 系统 重新 识别 后 ， 才 能 真正 解密 。 
显然 ， 在 这 类 加 密 过 程 中 ， 加 密 是 自己 ， 解 密 还 得 是 自己 ， 而 所 谓 解 密 ， 实 际 上 就 是 重新 
加 一 次 密 ， 所 应 用 的 “密码 ”也 就 是 输入 的 明文 。 不 可 逆 加 密 算法 不 存在 密 钥 保管 和 分 发 
问题 ， 非 常 适合 在 分 布 式 网 络 系统 上 使 用 ， 但 因 加 密 计 算 复 杂 ， 工 作 量 相当 繁重 ， 通 常 只 
在 数据 量 有 限 的 情形 下 使 用 ， 如 广泛 应 用 在 计算 机 系统 中 的 口令 加 密 ， 利 用 的 就 是 不 可 首 
加 密 算法 。 近 年 来 ， 随 着 计算 机 系统 性 能 的 不 断 提高 ， 不 可 逆 加 密 的 应 用 领域 正在 逐渐 增 
大 。 在 计算 机 网 络 中 应 用 较 多 不 可 逆 加 密 算法 的 有 RSA 公司 发 明 的 MD5 算法 和 由 美国 国 
家 标准 局 建议 的 不 可 逆 加 密 标 准 SHS (Secure Hash Standard: 安全 杂乱 信息 标准 ) 等 。 
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3.4.2 ”传输 安全 

数据 传输 加 密 技 术 目 的 是 对 传输 中 的 数据 流 加 密 ， 以 防止 通信 线路 上 的 窃听 、 汇 露 、 
算 改 和 破坏 。 数 据 传 输 的 完整 性 通常 通过 数字 签名 的 方式 来 实现 ， 即 数据 的 发 送 方 在 发 送 
数据 的 同时 利用 单 向 的 不 可 逆 加 密 算法 哈 希 函数 或 者 其 他 信息 文摘 算法 计算 出 所 传输 数据 
的 消息 文摘 ， 并 将 该 消息 文摘 作为 数字 签名 随 数据 一 同 发 送 。 接 收 方 在 收 到 数据 的 同时 也 
收 到 该 数据 的 数字 签名 ， 接 收 方 使 用 相同 的 算法 计算 出 接收 到 的 数据 的 数字 签名 ， 并 将 该 
数字 签名 和 接收 到 的 数字 签名 进行 比较 , 若 二 者 相同 ， 则 说 明 数 据 在 传输 过 程 中 未 被 修改 
数据 的 完整 性 得 到 了 保证 。 

哈 希 算 法 也 称 为 消息 摘要 或 单 向 转换 ， 是 一 种 不 可 逆 加 密 算法 ， 称 它 为 单 向 转换 是 
因为 : 
(1) 双方 必须 在 通信 的 两 个 端 头 处 各 自 执行 哈 希 函数 计算 ; 

(2) 使 用 哈 希 函数 很 容易 从 消息 计算 出 消息 摘要 , 但 其 逆向 反 演 过 程 以 目前 计算 机 的 
运算 能 力 几乎 不 可 实现 。 

哈 希 散 列 本 身 就 是 所 谓 加 密 检查 ， 通 信 双 方 必须 各 自 执行 函数 计算 来 验证 消息 。 举 例 
来 说 ， 发 送 方 首先 使 用 哈 希 算法 计算 消息 检验 和 ， 然 后 将 计算 结果 A 封装 进 数据 包 中 一 起 
发 送 ;接收 方 再 对 所 接收 的 消息 执行 哈 希 算法 计算 得 出 结果 B， 并 将 B 与 A 进行 比较 。 如 
果 消 息 在 传输 中 遭 自 改 致使 B 与 A 不 一 致 ， 接 收 方 丢弃 该 数据 包 。 

有 两 种 最 常用 的 哈 希 函数 : 

(1) MD5( 消 息 摘要 5) : MD5 对 MD4 做 了 改进 ， 计 算 速度 比 MD4 稍 慢 ， 但 安全 
性 能 得 到 了 进一步 改善 。MD5 在 计算 中 使 用 了 64 个 32 位 常数 ， 最 终生 成 一 个 128 位 的 完 
整 性 检查 和 。 

(2) SHA 安全 哈 希 算 法 : 其 算法 以 MD5 为 原型 。 SHA 在 计算 中 使 用 了 79 个 32 位 
常数 ， 最 终 产 生 一 个 160 位 完整 性 检验 和 。SHA 检验 和 长 度 比 MD5 更 长 ， 因 此 安全 性 也 
更 高 。 

3.4.3 身份 认证 

身份 认证 要 求 参与 安全 通信 的 双方 在 进行 安全 通信 前 ， 必 须 互相 鉴别 对 方 的 身份 。 保 
护 数 据 不 仅仅 是 要 让 数据 正确 、 长 久 地 存在 ,更 重要 的 是 ， 要 让 不 该 看 到 数据 的 人 看 不 到 。 
这 方面 ， 就 必须 依靠 身份 认证 技术 来 给 数据 加 上 一 把 锁 。 数 据 存在 的 价值 就 是 需要 被 合理 
访问 ， 所 以 ， 建 立信 息 安全 体系 的 目的 应 该 是 保证 系统 中 的 数据 只 能 被 有 权限 的 人 访问 ， 
未 经 授权 的 人 则 无 法 访问 到 数据 。 如 果 没 有 有 效 的 身份 认证 手段 ， 访 问 者 的 身份 就 很 容易 
被 伪造 ， 使 得 未 经 授权 的 人 仿冒 有 权限 人 的 身份 , 这样， 任何 安全 防范 体系 就 都 形同虚设 ， 
所 有 安全 投入 就 被 无 情 地 浪费 了 。 

在 企业 管理 系统 中 ， 身 份 认 证 技术 要 能 够 密切 结合 企业 的 业务 流程 ， 阻 止 对 重要 资源 
的 非法 访问 。 身 份 认证 技术 可 以 用 于 解决 访问 者 的 物理 身份 和 数字 身份 的 一 致 性 问题 ， 给 
其 他 安全 技术 提供 权限 管理 的 依据 。 所 以 说 ， 身 份 认 证 是 整个 信息 安全 体系 的 基础 。 

由 于 网 上 的 通信 双方 互 不 见面 ， 必 须 在 交易 时 (交换 敏感 信息 时 ) 确认 对 方 的 真实 身 
份 ; 身份 认证 指 的 是 用 户 身份 的 确认 技术 ， 它 是 网 络 安全 的 第 一 道 防线 ， 也 是 最 重要 的 一 
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道 防线 。 

在 公共 网 络 上 的 认证 ， 从 安全 角度 分 有 两 类 : 一 类 是 请 求 认 证 者 的 秘密 信息 例如 : 
口令 ) 在 网 上 传送 的 口令 认证 方式 ， 另 一 类 是 使 用 不 对 称 加 密 算法 ， 而 不 需要 在 网 上 传送 
秘密 信息 的 认证 方式 ， 这 类 认证 方式 中 包括 数字 签名 认证 方式 。 

1. 口令 认证 方式 

口令 认证 必须 具备 一 个 前 提 : 请 求 认证 者 必须 具有 一 个 ID， 该 ID 必须 在 认证 者 的 用 
户 数据 库 〈 该 数据 库 必 须 包 括 ID 和 口令 ) 中 是 唯一 的 。 同 时 为 了 保证 认证 的 有 效 性 必须 考 
虑 到 以 下 几 个 问题 。 

(1) 求 认证 者 的 口令 必须 是 安全 的 。 

(2) 在 传输 过 程 中 ， 口 令 不 能 被 窃 看 、 蔡 换 。 

(3) 请 求 认 证 者 在 向 认证 者 请 求 认证 前 ， 必 须 确 认 认证 者 的 真实 身份 ， 否 则 会 把 口令 
发 给 冒充 的 认证 者 。 

口令 认证 方式 还 有 一 个 最 大 的 安全 问题 就 是 系统 的 管理 员 通 常 都 能 得 到 所 有 用 户 的 口 
令 。 因此， 为 了 避免 这 样 的 安全 隐患 ， 通 常情 况 下 会 在 数据 库 中 保存 口令 的 哈 希 值 ， 通 过 
验证 哈 希 值 的 方法 来 认证 身份 。 

2. 使 用 不 对 称 加 密 算 法 的 认证 方式 〈 数 字 证 书 方式 ) 

使 用 不 对 称 加 密 算 法 的 认证 方式 ， 认 证 双方 的 个 人 秘密 信息 〈 例 如 : 口令 ) 不 用 在 网 
络 上 传送 ， 减 少 了 认证 的 风险 。 这 种 方式 是 通过 请 求 认 证 者 与 认证 者 之 间 对 一 个 随机 数 作 
数字 签名 与 验证 数字 签名 来 实现 的 。 

认证 一 旦 通过 ， 双 方 即 建立 安全 通道 进行 通信 ， 在 每 一 次 的 请 求 和 响应 中 进行 ， 即 接 
受信 息 的 一 方 先 从 接收 到 的 信息 中 验证 发 信人 的 身份 信息 ， 验 证 通过 后 才 根据 发 来 的 信息 
进行 相应 的 处 理 。 

用 于 实现 数字 签名 和 验证 数字 签名 的 密 钥 对 必须 与 进行 认证 的 一 方 唯一 对 应 。 

在 公 钥 密码 〈 不 对 称 加 密 算 法 ) 体系 中 ， 数 据 加 密 和 解密 采用 不 同 的 密 钥 ， 而 且 用 加 
密 密 钥 加 密 的 数据 只 有 采用 相应 的 解密 密 钥 才能 解密 ， 更 重要 的 是 从 加 密 密 码 来 求解 解密 
密 钥 十 分 困难 。 在 实际 应 用 中 ， 用 户 通常 将 密 钥 对 中 的 加 密 密 钥 公 开 〈 称 为 公 钥 ) ， 而 秘 
密 持 有 解密 密 钥 〈 称 为 私 钥 ) 。 利 用 公 钥 体系 可 以 方便 地 实现 对 用 户 的 身份 认证 ， 也 即 用 
户 在 信息 传输 前 首先 用 所 持 有 的 私 钥 对 传输 的 信息 进行 加 密 ， 信 息 接收 者 在 收 到 这 些 信 息 
之 后 利用 该 用 户 向 外 公布 的 公 钥 进行 解密 ,如 果 能 够 解 开 ,， 说 明 信 息 确实 为 该 用 户 所 发 送 ， 
这 样 就 方便 地 实现 了 对 信息 发 送 方 身份 的 鉴别 和 认证 。 在 实际 应 用 中 通常 将 公 钥 密码 体系 
和 数字 签名 算法 结合 使 用 ， 在 保证 数据 传输 完整 性 的 同时 完成 对 用 户 的 身份 认证 。 

目前 的 不 对 称 加 密 算法 都 是 基于 一 些 复杂 的 数学 难题 , 例如 目前 广泛 使 用 的 RSA 算法 
就 是 基于 大 整数 因子 分 解 这 一 著名 的 数学 难题 。 目 前 常用 的 非 对 称 加 密 算法 包括 整数 因子 
分 解 〈 以 RSA 为 代表 ) 、 椭 园 曲 线 离 散 对 数 和 离散 对 数 〈 以 DSA 为 代表 ) 。 公 和 钥 密 码 体 
系 的 优点 是 能 适应 网 络 的 开放 性 要 求 ， 密 钥 管 理 简单 ， 并 且 可 方便 地 实现 数字 签名 和 身份 
认证 等 功能 ， 是 目前 电子 商务 等 技术 的 核心 基础 。 其 缺点 是 算法 复杂 ， 加 密 数据 的 速度 和 
效率 较 低 。 因 此 在 实际 应 用 中 , 通常 将 对 称 加 密 算法 和 非 对 称 加 密 算法 结合 使 用 , 利用 AES、 
DES 或 者 IDEA 等 对 称 加 密 算 法 来 进行 大 容量 数据 的 加 密 , 而 采用 RSA 等 非 对 称 加 密 算法 
来 传递 对 称 加 密 算法 所 使 用 的 密 钥 ， 通 过 这 种 方法 可 以 有 效 地 提高 加 密 的 效率 并 能 简化 对 
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密 钥 的 管理 。 
3.4.4 在 电子 商务 方面 的 应 用 


电子 商务 (E-business) 要 求 顾客 可 以 在 网 上 进行 各 种 商务 活动 ， 不 必 担心 自 己 的 信用 
卡 会 被 人 盗用 。 在 过 去 ， 用 户 为 了 防止 信用 卡 的 号 码 被 窃取 ， 一 般 是 通过 电话 订货 ， 然 后 
使 用 用 户 的 信用 卡 进行 付款 。 现 在 人 们 开始 用 RSA (一 种 公开 /私有 密 钥 ) 的 加 密 技 术 ， 提 
高 信用 卡 交 易 的 安全 性 ， 从 而 使 电子 商务 走向 实用 成 为 可 能 。 

许多 人 都 知道 NETSCAPE 公司 是 Internet 商业 中 领先 技术 的 提供 者 ， 该 公司 提供 了 一 
种 基于 RSA 和 保密 密 钥 的 应 用 于 因特网 的 技术 ， 被 称 为 安全 套 接 字 层 (Secure Sockets 
Layer, SSL) 。 

也 许 很 多 人 知道 Socket， 它 是 一 个 编程 界面 ， 并 不 提供 任何 安全 措施 ， 而 SSL 不 但 提 
供 编 程 界面 , 而 且 向 上 提供 一 种 安全 的 服务 , SSL3.0 现在 已 经 应 用 到 了 服务 器 和 浏览 器 上 ， 
SSL2.0 则 只 能 应 用 于 服务 器 端 。 

SSL3.0 用 一 种 电子 证 书 来 实行 身份 进行 验证 后 ， 双 方 就 可 以 用 保密 密 钥 进行 安全 的 会 
话 了 。 它 同时 使 用 “对 称 ” 和 “ 非 对 称 ” 加 密 方法 ， 在 客户 与 电子 商务 的 服务 器 进行 沟通 
的 过 程 中 ， 客 户 会 产生 一 个 会 话 密 钥 ， 然 后 客户 用 服务 器 端的 公 钥 将 会 话 密 钥 进行 加 密 ， 
再 传 给 服务 器 端 ， 在 双方 都 知道 会 话 密 钥 后 ， 传 输 的 数据 都 是 以 会 话 密 钥 进行 加 密 与 解密 
的 ， 但 服务 器 端 发 给 用 户 的 公 钥 必需 先 向 有 关 发 证 机 关 申 请 ， 以 得 到 公证 。 

基于 SSL3.0 提供 的 安全 保障 , 用 户 就 可 以 自由 订购 商品 并 且 给 出 信用 卡号 了 ,也 可 以 
在 网 上 和 合作 伙伴 交流 商业 信息 并 且 让 供应 商 把 订单 和 收 货 单 从 网 上 发 过 来 ， 这 样 可 以 节 
省 大 量 的 纸张 ， 为 公司 节省 大 量 的 电话 、 传 真 费 用 。 在 过 去 ， 电 子 信 息 交换 (Electric Data 
Interchange，EDI) 、 信 息 交 易 (information transaction) 和 人 金融 交易 financial transaction) 
都 是 在 专用 网 络 上 完成 的 ， 使 用 专用 网 的 费用 大 大 高 于 互联 网 。 正 是 这 样 巨大 的 诱惑 ， 才 
使 人 们 开始 发 展 因特网 上 的 电子 商务 ， 但 不 要 忘记 数据 加 密 。 

3.4.5 加 密 技术 在 VPN 中 的 应 用 

现在 ， 越 多 越 多 的 公司 走向 国际 化 ， 一 个 公司 可 能 在 多 个 国家 都 有 办 事 机 构 或 销售 中 
心 ， 每 一 个 机 构 都 有 自己 的 局 域 网 ， 但 在 当今 的 网 络 社会 人 们 的 要 求 不 仅 如 此 ， 用 户 希 望 
将 这 些 局 域 网 连接 在 一 起 组 成 一 个 公司 的 广域网 ， 这 个 在 现在 已 不 是 什么 难事 了 。 

事实 上 , 很 多 公司 都 已 经 这 样 做 了 , 但 他 们 一 般 使 用 租用 专用 线路 来 连接 这 些 局 域 网 ， 
他 们 考虑 的 就 是 网 络 的 安全 问题 。 现 在 具有 加 密 /解密 功能 的 路 由 器 已 到 处 都 是 ， 这 就 使 人 
们 通过 互联 网 连接 这 些 局 域 网 成 为 可 能 , 这 就 是 我 们 通常 所 说 的 虚拟 专用 网 (Virtual Private 
Network,VPN) 。 当 数据 离开 发 送 者 所 在 的 局 域 网 时 ， 该 数据 首先 被 用 户 端 连接 到 互联 网 
上 的 路 由 器 进行 硬件 加 密 , 数据 在 互联 网 上 是 以 加 密 的 形式 传送 的 ， 当 达到 目的 LAN 的 路 
由 器 时 , 该 路 由 器 就 会 对 数据 进行 解密 , 这 样 目 的 LAN 中 的 用 户 就 可 以 看 到 真正 的 信息 了 。 


3.5 加 密 举 例 


为 了 能 够 更 加 形象 地 对 加 密 和 解密 过 程 进行 理解 ， 这 里 通过 常用 的 Word 文档 的 加 密 
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和 解密 过 程 来 做 说 明 。 
Word 文档 的 加 密 过 程 如 下 。 
(1) 选择 “开始 ”|“ 程 序 ”| Microsoft Office | Microsoft Word 命令 ，Word 编辑 窗口 
出 现 ， 在 窗口 中 输入 一 些 文字 信息 ， 如 图 3-26 所 示 。 
(2) 将 文档 保存 到 一 个 任意 一 个 目录 ， 这 里 为 了 方便 ， 我 们 选择 保存 到 “我 的 文档 ” 
中 ， 如 图 3-27 所 示 。 


ED [Dm I 
Ce 


到 二 二 一 
图 3-26 ”Word 文档 编辑 界面 图 3-27 保存 Word 文档 
(3) 用 UltraEdit-32 工具 (可 以 用 16 进 制 形式 打开 文件 ) 打开 刚才 保存 的 Word 文档 ， 
可 以 看 到 文档 的 内 容 ， 此 时 的 Word 文档 没有 被 加 密 ， 如 图 3-28 所 示 。 
(4) 用 Word 打开 刚才 的 Word， 选 择 “ 工 具 ”|“ 选 项 ”命令 ， 出 现 “选项 ”对 话 框 ， 
在 “选项 ” 尖 流 全 中 选择 “保存 ”选项 卡 ， 如 图 3-29 所 示 。 
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图 3-28 ”Word 文档 的 二 进 制 形式 图 3-29 ”Word 文档 保存 选项 对 话 框 


(5) 在 “打开 权限 密码 ”文本 框 和 “修改 权限 密码 ”文本 框 中 输入 密码 , 然后 单 击 “ 确 
定 ” 按 钮 出现“ 确认 密码 ”对 话 框 ， 要 求 再 次 输入 刚才 设置 的 “打开 权限 密码 ”， 如 图 
3-30 所 示 。 

(6) 输入 确认 打开 权限 密码 以 后 ， 单 击 “ 确 定 ” 按 钮 ， 再 次 出 现 “ 确 认 密码 ”对 话 框 ， 
要 求 再 次 输入 刚才 设置 的 “修改 权限 密码 ”， 如 图 3-31 所 示 。 

(7) 单 击 “ 确 认 密码 ”对 话 框 中 的 “确定 ”按钮 ， 单 击 “ 选 项 ”对 话 框 中 的 “确定 ” 
按钮 ， 完 成 对 Word 文档 的 加 密 ， 关 闭 Word 文档 。 
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图 3-30 确认 打开 权限 密码 对 话 框 图 3-31 确认 修改 权限 密码 对 话 框 

(8) 重新 用 Word 打开 刚才 加 密 过 的 文档 ， 出 现 “ 密 码 ” 对 话 框 ，Word 要 求 输入 打 
开 权 限 密码 ， 出 现 如 图 3-32 所 示 。 

(9) 输入 刚才 设置 的 打开 权限 密码 ， 然 后 单 击 “确定 ”按钮 ， 出 现 第 二 个 “密码 ”对 
话 框 ， 要 求 输入 修改 权限 密码 ， 此 时 有 两 个 选择 ， 如 果 需 要 修改 文件 内 容 ， 需 要 输入 密码 ， 
然后 单 击 “确定 ”按钮 ， 如 果 不 需 要 修改 文件 内 容 ， 可 以 单 击 “ 只 读 ” 按 钮 ， 同 样 可 以 打 
开 文 档 ， 只 是 此 时 不 能 对 文档 进行 修改 ， 如 图 3-33 所 示 。 


“Word 文档 加 密 测 试 . aoc” 由 4usoft-lmw 保留 


请 键入 打开 权限 密码 
DT: Aiy Docunents Mord 文 档 加 密 测试 .doc 请 键入 修改 权限 密码 ,否则 以 只 读 方式 打开 。 
密码 伯 : 


Cume | ws | Ce |] my | ww | 
图 3-32 输入 打开 权限 密码 窗口 图 3-33 输入 修改 权限 密码 窗口 
(10) Word 文档 打开 后 ， 出 现 文 档 编 辑 窗口 。 


(11) 用 UltraEdit-32 工具 打开 刚才 加 密 过 的 Word 文档 ， 可 以 看 到 文档 的 内 容 ， 此 时 
的 Word 文档 已 经 被 加 密 ， 如 图 3-34 所 示 。 
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图 3-34 ”加 密 过 的 Word 文档 
(12) 可 以 看 出 加 密 后 的 内 容 和 加 密 前 的 内 容 有 所 不 同 。 
Word 文档 的 解密 过 程 如 下 。 
(1) 用 Word 打开 刚才 加 密 过 的 文件 ， 选 择 “ 工 具 ”|“ 选 项 ”命令 ， 出 现 “ 选 项 ”对 
话 框 ， 在 对 话 框 中 选择 “保存 ”选项 卡 ， 如 图 3-35 所 示 。 
(2) 将 “打开 权限 密码 ”文本 框 和 “修改 权限 密码 ”文本 框 中 的 密码 删除 ， 然 后 单 击 
“确定 ”按钮 ， 然 后 再 单 击 工具 栏 上 的 “保存 ”按钮 保存 Word 文件 的 内 容 ， 这 样 就 完成 
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对 Word 文档 的 解密 了 。 
(3) 用 UltraEdit-32 工具 打开 刚才 解密 过 的 Word 文档 ， 可 以 看 到 文档 的 内 容 ， 此 时 
的 Word 文档 已 经 被 解密 ， 如 图 3-36 所 示 。 


图 3-35 “选项 ”对 话 框 图 3-36 解密 后 的 Word 文档 
(4) 可 以 看 出 Word 文档 已 经 被 解密 ， 和 加 密 以 前 的 内 容 是 完全 一 样 的 ， 再 次 打开 这 
个 文档 的 时 候 也 不 会 要 求 输入 密码 。 


习题 


.数据 加 密 技术 包括 哪些 相关 技术 ? 

. 简 述 对 称 加 密 算法 的 基本 思想 。 

. 简 述 公开 密 钥 算法 的 基本 思想 。 

. 简 述 数据 加 密 技术 的 应 用 。 

.用 一 个 加 密 工具 给 一 个 Word 文件 加 密 。 
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教学 提示 

随 着 计算 机 技术 应 用 的 普及 ， 各 个 组 织 机 构 的 运行 越 来 越 依 赖 和 离 不 开 计算 机 ， 各 种 
业务 的 运行 架构 于 现代 化 的 网 络 环境 中 。 企 业 计 算 机 系统 作为 信息 化 程度 较 高 、 计 算 机 网 
络 应 用 情况 比较 先进 的 一 个 特殊 系统 ， 其 业务 也 同样 地 越 来 越 依赖 于 计算 机 。 保 证 业务 系 
统 和 工作 的 正常 、 可 靠 和 安全 地 进行 是 信息 系统 工作 的 一 个 重要 话题 ， 所 以 防火 墙 作为 网 
络 安 全 的 一 个 重要 组 成 部 分 被 广泛 地 使 用 。 

在 网 络 安全 的 所 有 工具 中 ， 防 火 墙 是 保护 内 部 网 络 安全 ， 防 止 外 部 攻击 的 最 有 效 的 工 
具 。 为 了 充分 认识 、 理 解 并 应 用 好 该 工具 ， 本 章 将 对 防火 墙 技 术 的 相关 知识 进行 讲解 ， 具 
体内 容 包括 防火 墙 的 基本 概念 、 防 火 墙 的 功能 、 防 火 墙 的 分 类 以 及 各 种 类 型 防火 墙 的 特点 、 
防火 墙 的 选择 原则 以 及 防火 墙 技 术 的 发 展 情况 。 

防火 墙 作为 网 络 安全 体系 结构 中 的 一 个 不 可 缺少 的 组 成 部 分 ， 对 于 整个 网 络 系统 的 安 
全 具有 重要 作用 。 通 过 对 本 章 内 容 的 学 习 ， 深 入 了 解 防火 墙 的 技术 原理 、 功 能 以 及 各 种 防 
火 墙 的 特点 和 选择 原则 以 及 发 展 趋势 等 ， 对 于 构建 安全 的 网 络 系统 具有 重要 的 意义 。 
教学 重点 

@ 防火 墙 的 工作 原理 。 

@ 防火 墙 技术 分 类 及 其 特点 。 

@ 防火 墙 体系 结构 。 

@ 分 布 式 防火 墙 技 术 。 

@ 防火 墙 选择 原则 。 

@ 防火 墙 技 术 发 展 趋势 。 


4.1 防火 墙 基本 概念 


Internet 的 迅速 发 展 提供 了 发 布 信息 和 检索 信息 的 场所 , 但 也 带 来 了 信息 污染 和 信息 破 
坏 的 危险 人们 为 了 保护 其 数据 和 资源 的 安全 ， 部 署 了 防火 墙 。 防 火 墙 本 质 上 是 一 种 保护 
装置 ， 它 保护 数据 、 资 源 和 用 户 的 声誉 。 


4.1.1 ”防火墙 定义 


防火 墙 的 本 义 原 是 指 古代 人 们 房屋 之 间 修 建 的 那 道 墙 ， 这 道 墙 可 以 防止 火灾 发 生 的 时 
候 蔓 延 到 别 的 房屋 。 而 这 里 所 说 的 防火 墙 当然 不 是 指 物理 上 的 防火 墙 ， 而 是 指 隔离 在 本 地 
网 络 与 外 界 网 络 之 间 的 一 道 防御 系统 ， 是 这 一 类 防范 措施 的 总 称 。 

防火 墙 是 一 个 或 一 组 在 两 个 网 络 之 间 执 行 访问 控制 策略 的 系统 ， 包 括 硬 件 和 软件 ， 目 
的 是 保护 网 络 不 被 可 疑 人 侵扰 。 本 质 上 ， 它 遵从 的 是 一 种 允许 或 阻止 业务 来 往 的 网 络 通信 
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安全 机 制 ， 也 就 是 提供 可 控 的 过 滤 网 络 通信 ， 只 允许 授权 的 通信 。 

通常 ， 防 火 墙 就 是 位 于 内 部 网 或 Web 站 点 与 Intemet 之 间 的 一 个 路 由 器 或 一 台 计 算 机 
〈 又 称 为 堡垒 主机 ) ， 其 目的 如 同一 个 安全 门 ， 为 门 内 的 部 分 提供 安全 ， 控 制 那些 允许 出 
入 应 该 受到 保护 的 人 或 物 。 就 像 工作 在 门 前 的 安全 卫士 ， 控 制 并 检查 站 点 的 访问 者 。 

防火 墙 是 由 管理 员 为 保护 自己 的 网 络 免 遭 外 界 非 授权 访问 但 又 允许 与 Internet 连接 而 
发 展 起 来 的 ， 从 网 际 角度 ， 防 火 墙 可 以 看 成 是 安装 在 两 个 网 络 之 间 的 一 道 栅栏 ， 根 据 安 
全 计划 和 安全 策略 中 的 定义 来 保护 其 后 面 的 网 络 ， 由 软件 和 硬件 组 成 的 防火 墙 应 该 具有 
以 下 功能 : 

@ ”所 有 进出 网 络 的 通信 流 都 应 该 通过 防火 墙 ; 

@ 所 有 穿 过 防火 墙 的 通信 流 都 必须 有 安全 策略 和 计划 的 确认 和 授权 ; 

@ 理论 上 说 ， 防 火 墙 是 穿 不 透 的 。 

利用 防火 墙 能 保护 站 点 不 被 任意 连接 ， 甚 至 能 建立 跟踪 工具 ， 帮 助 总 结 并 记录 有 关 正 
在 进行 的 连接 资源 、 服 务 器 提供 的 通信 量 以 及 试图 疤 入 者 的 任何 企图 。 

总 之 ， 防 火 墙 是 阻止 外 面 的 人 对 你 的 网 络 进行 访问 的 安全 设备 ， 此 设备 通常 是 软件 和 
硬件 的 组 合体 ， 它 通常 根据 一 些 规则 来 挑选 想 要 或 不 想 要 的 地 址 。 

随 着 Intemet 上 越 来 越 多 的 用 户 访问 Web， 运 行 例如 Telnet、FTP 和 Intemet Mail 之 类 
的 服务 ， 系 统管 理 者 和 LAN 管理 者 必须 能 够 在 提供 访问 的 同时 ,保护 他 们 的 内 部 网 , 不 给 
闻 入 者 留 有 可 乘 之 机 。 需 要 防范 的 三 种 基本 进攻 如 下 

e@ 间谍 : 试图 偷 走 敏 感 信息 的 黑客 、 入 侵 者 和 间 入 者 ; 

e@ 盗窃: 盗窃 对 象 包 括 数 据 、Web 表格 、 磁 盘 空 间 、CPU 资源 、 连 接 等 ; 

e@ 破坏 系统 : 通过 路 由 器 或 主机 / 服务 器 蓄意 破坏 文件 系统 或 阻止 授权 用 户 访问 内 部 

网 、 外 部 网 或 服务 器 。 

这 里 ， 防 火 墙 的 作用 是 保护 Web 站 点 和 公司 的 内 部 网 ， 使 之 免 遭 Intemet 上 各 种 危险 
的 侵犯 。 

典型 的 防火 墙 建立 在 一 个 服务 器 / 主机 机 器 上 ， 亦 称 “ 堡 垒 ”， 是 一 个 多 边 协 议 路 由 
器 ， 这 个 堡垒 有 两 个 网 络 连接 : 一 边 与 内 部 网 相连 ， 另 一 边 与 Intemet 相连 。 它 的 主要 作用 
除了 防止 未 经 授权 的 来 自 Intemet 或 对 Internet 的 访问 外 ， 还 包括 为 安全 管理 提供 详细 的 系 
统 活动 的 记录 。 在 有 的 配置 中 ， 这 个 堡垒 主机 经 常 作为 一 个 公共 Web 服务 器 或 一 个 FTP 
或 E-mail 服务 器 使 用 。 

通过 在 防火 墙 上 运行 的 专门 HTTP 服务 器 ， 可 使 用 “代理 ”服务 器 ， 以 访问 防火 墙 的 
另 一 边 的 Web 服务 器 。 


4.1.2 防火墙 的 功能 
防火 墙 作为 连接 内 部 网 络 和 外 部 网 络 的 主要 网 络 安全 设备 ， 主 要 具有 以 下 几 个 方面 的 


1. 防火 墙 是 网 络 安全 的 屏障 
一 个 防火 墙 〈 作 为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 
滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 所 以 网 
络 环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 的 网 
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络 ， 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保 
护 网 络 免 受 基 于 路 由 的 攻击 ， 如 了 P 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 
防火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

2. 防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认 证 、 
审计 等 ) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集中 安全 
管理 更 经 济 。 例 如 在 网 络 访问 时 ， 一 次 一 密 口 令 系 统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 
分 散在 各 个 主机 上 ， 而 集中 在 防火 墙 身 上 。 

3. 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那 么 ， 防 火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记 录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ， 防 火 墙 能 进行 适当 的 报警 ， 
并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 
非常 重要 的 。 首 先 的 理由 是 可 以 清楚 地 知道 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 
且 清 楚 地 知道 防火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 
也 是 非常 重要 的 。 

4. 防止 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 部 
重点 或 敏感 网 络 安 全 问题 对 全 局 网 络 造成 的 影响 。 再 者 , 隐私 是 内 部 网 络 非常 关心 的 问题 ， 
一 个 内 部 网 络 中 不 引 和 人 注意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ， 
甚至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透露 内 部 细节 如 
Finger，DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ， 最 后 登录 时 间 和 使 
用 shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 一 个 系 
统 使 用 的 频繁 程度 ， 这 个 系统 是 否 有 用 户 正在 连 线 上 网 ， 这 个 系统 是 否 在 被 攻击 时 引起 注 
意 等 等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ， 这 样 一 台 主 机 的 域名 和 他 地 
址 就 不 会 被 外 界 所 了 解 。 

除了 安全 作用 ， 防 火 墙 还 支持 具有 Interet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN。 
通过 VPN， 将 企 事业 单位 在 地 域 上 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 ， 有 机 地 连 成 一 
个 整体 。 不 仅 省 去 了 专用 通信 线路 ， 而 且 为 信息 共享 提供 了 技术 保障 。 


4.1.3 防火墙 的 分 类 


根据 物理 特性 ， 防 火 墙 分 为 两 大 类 ， 硬 件 防火 墙 和 软件 防火 墙 。 软 件 防 火 墙 是 一 种 安 
装 在 负责 内 外 网 络 转换 的 网 关 服 务 器 或 者 独立 的 个 人 计算 机 上 的 特殊 程序 ， 它 是 以 逻辑 形 
式 存在 的 , 防火 墙 程 序 跟随 系统 启动 , 通过 运行 在 ring0 级 别 的 特殊 驱动 模块 把 防御 机 制 插 
入 系统 关于 网 络 的 处 理 部 分 和 网 络 接口 设备 驱动 之 间 ， 形 成 一 种 逻辑 上 的 防御 体系 。 

在 没有 软件 防火 墙 之 前 ， 系 统 和 网 络 接 口 设备 之 间 的 通道 是 直接 的 ， 网 络 接口 设备 通 
过 网 络 驱 动 程序 接口 (network driver interface specification，ndis) 把 网 络 上 传 来 的 各 种 报 
文 都 忠实 地 交 给 系统 处 理 ， 例 如 一 台 计 算 机 接收 到 请 求 列 出 机 器 上 所 有 共享 资源 的 数据 报 
文 ， 网 络 驱动 程序 接口 直接 把 这 个 报 文 提 交 给 系统 ， 系 统 在 处 理 后 就 会 返回 相应 数据 ， 在 
某 些 情况 下 就 会 造成 信息 泄露 。 而 使 用 软件 防火 墙 后 ， 尽 管 ndis 接收 到 的 仍然 是 原封 不 动 
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的 数据 报 文 ， 但 是 在 提交 到 系统 的 通道 上 多 了 一 层 防 御 机 制 ， 所 有 数据 报 文 都 要 经 过 这 
机 制 根据 一 定 的 规则 判断 处 理 ， 只 有 它 认 为 安全 的 数据 才能 到 达 系 统 ， 其 他 数据 则 被 丢弃 。 
因为 有 规则 提 到 “ 列 出 共享 资源 的 行为 是 危险 的 ”， 因 此 在 防火 墙 的 判断 下 ， 这 个 报 文 会 
被 丢弃 ， 这 样 一 来 ， 系 统 接收 不 到 报 文 ， 则 认为 什么 事情 也 没有 发 生 过 ， 也 就 不 会 把 信息 
泄露 出 去 了 。 

软件 防火 墙 工作 于 系统 接口 与 网 络 驱 动 程序 接口 之 间 ， 用 于 检查 过 滤 由 网 络 驱 动 程序 
接口 发 送 过 来 的 数据 ， 在 无 需 改动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ， 但 是 由 于 
软件 防火 墙 自身 属于 运行 于 系统 上 的 程序 ， 不 可 避免 地 需要 占用 一 部 分 CPU 资源 维持 工 
作 ， 而 且 由 于 数据 判断 处 理 需要 一 定 的 时 间 ， 在 一 些 数据 流量 大 的 网 络 里 ， 软 件 防火 墙 会 
使 整个 系统 工作 效率 和 数据 吞吐 速度 下 降 ， 甚 至 有 些 软件 防火 墙 会 存在 漏洞 ， 导 致 有 害 数 
据 可 以 绕 过 它 的 防御 体系 ， 给 数据 安全 带 来 损失 ， 因 此 ， 许 多 企业 并 不 会 考虑 用 软件 防火 
墙 方案 作为 公司 网 络 的 防御 措施 ， 而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ， 通 常 架设 于 两 个 网 络 的 连接 处 ， 直 接 
从 网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 ， 位 于 防火 墙 设备 后 端的 网 络 或 者 服务 器 接收 到 的 
是 经 过 防火 墙 处 理 过 的 相对 安全 的 数据 , 不 必 另 外 分 出 CPU 资源 去 进行 基于 软件 架构 的 网 
络 驱 动 程序 接口 数据 检测 ， 可 以 大 大 提高 工作 效率 。 

硬件 防火 墙 一 般 是 通过 网 线 连接 于 外 部 网 络 接口 与 内 部 服务 器 或 企业 网 络 之 间 的 设 
备 ， 这 里 又 另外 派 分 出 两 种 结构 ， 一 种 是 普通 硬件 级 别 防火 墙 ， 它 拥有 标准 计算 机 的 硬件 
平台 和 一 些 功能 经 过 简化 处 理 的 UNIX 系列 操作 系统 和 防火 墙 软件 ， 这 种 防火 墙 措施 相当 
于 专门 拿 出 一 台 计 算 机 安装 了 软件 防火 墙 ， 除 了 不 需要 处 理 其 他 事务 以 外 ， 它 毕竟 还 是 一 
般 的 操作 系统 ， 因 此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ， 安 全 性 并 不 能 做 到 最 好 ， 另 一 种 是 
所 谓 的 “芯片 ”级 硬件 防火 墙 ， 它 采用 专门 设计 的 硬件 平台 ， 在 上 面 搭建 的 软件 也 是 专门 
开发 的 ， 并 非 流行 的 操作 系统 ， 因 而 可 以 达到 较 好 的 安全 性 能 保障 。 但 无 论 是 哪 种 硬件 防 
火 墙 ， 管 理 员 都 可 以 通过 计算 机 连接 上 去 设置 工作 参数 。 由 于 硬件 防火 墙 的 主要 作用 是 把 
传 入 的 数据 报 文 进行 过 滤 处 理 后 转发 到 位 于 防火 墙 后 面 的 网 络 中 ， 因 此 它 自 身 的 硬件 规格 
也 是 分 档次 的 ， 尽 管 硬件 防火 墙 已 经 足以 实现 比较 高 的 信息 处 理 效率 ， 但 是 在 一 些 对 数据 
吞吐 量 要 求 很 高 的 网 络 里 ， 档 次 低 的 防火 墙 仍然 会 形成 瓶颈 ， 所 以 对 于 一 些 大 企业 而 言 ， 
芯片 级 的 硬件 防火 墙 才 是 他 们 的 首选 。 

为 防火 墙 分 类 的 方法 很 多 , 除了 从 形式 上 把 它 分 为 软件 防火 墙 和 硬件 防火 墙 以 外 , 还 可 以 
从 技术 上 分 为 “ 包 过 滤 型 ”、“ 应 用 代理 型 ”和 “状态 监视 型 ”三 类 ， 从 结构 上 又 分 为 单一 主 
机 防火 墙 、 路 由 集成 式 防火 墙 和 分 布 式 防火 墙 三 种 ， 按 工作 位 置 分 为 边界 防火 墙 、 个 人 防火 墙 
和 混合 防火 墙 ; 按 防火 墙 性 能 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 等 。 这 里 主要 介绍 的 是 技 
术 方面 的 分 类 ， 即 “ 包 过 滤 型 ”、“ 应 用 代理 型 ”和 “状态 监视 型 ”防火 墙 技术 。 

传统 意义 上 的 防火 墙 技术 分 为 三 大 类 ，“ 包 过 滤 ” (packet filtering) 、“ 应 用 代理 ” 
(application proxy) 和 “状态 监视 ” (stateful inspection) ， 无 论 一 个 防火 墙 的 实现 过 程 多 
么 复杂 ， 归 根 结 底 都 是 在 这 三 种 技术 的 基础 上 进行 功能 扩展 的 。 

1. 包 过 滤 技 术 

包 过 滤 是 最 早 使 用 的 一 种 防火 墙 技术 , 它 的 第 一 代 模 型 是 “静态 包 过 滤 ” (static packet 
filtering) ， 使 用 包 过 滤 技 术 的 防火 墙 通常 工作 在 OSI 模型 中 的 网 络 层 (network layer) 上 ， 
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后 来 发 展 为 更 新 的 “动态 包 过 滤 ”(dynamic packet filtering ) 增加 了 传输 层 (transport layer) ， 
简 而 言 之 ， 包 过 滤 技 术 工 作 的 地 方 就 是 各 种 基于 tcp/ip 协议 的 数据 报 文 进出 的 通道 ， 它 把 
这 两 层 作 为 数据 监控 的 对 象 ， 对 每 个 数据 包 的 头 部 、 协 议 、 地 址 、 端 口 、 类 型 等 信息 进行 
分 析 ， 并 与 预先 设 定 好 的 防火 墙 过 滤 规 则 (filtering rule) 进行 核对 ， 一 旦 发 现 某 个 包 的 某 
个 或 多 个 部 分 与 过 滤 规 则 匹配 并 且 条 件 为 “阻止 ”的 时 候 ， 这 个 包 就 会 被 丢弃 。 

适当 的 设置 过 滤 规 则 可 以 让 防火 墙 工作 得 更 安全 有 效 ， 但 是 这 种 技术 只 能 根据 预 设 的 
过 滤 规 则 进行 判断 ， 一 旦 出 现 一 个 没有 在 设计 人 员 意 料 之 中 的 有 害 数据 包 请 求 ， 整 个 防火 
墙 的 保护 就 相当 于 摆设 了 。 也 许 你 会 想 ， 让 用 户 自行 添加 不 行 吗 ? 但 是 别 忘 了 ， 要 为 普通 
计算 机 用 户 考虑 ， 并 不 是 所 有 人 都 了 解 网 络 协议 的 ， 如 果 防 火 墙 工具 出 现 了 过 滤 遗 漏 问 题 ， 
就 只 能 等 着 被 入 侵 了 。 一 些 公 司 采 用 定期 从 网 络 升级 过 滤 规 则 的 方法 ， 这 个 创意 固然 可 以 
方便 一 部 分 家 庭 用 户 ， 但 是 对 相对 比较 专业 的 用 户 而 言 ， 却 不 见得 就 是 好 事 ， 因 为 他 们 可 
能 会 根据 自己 的 机 器 环境 设 定 和 改动 规则 ， 如 果 这 个 规则 刚好 和 升级 到 的 规则 发 生 冲突 ， 
用 户 就 该 郁闷 了 ， 而 且 如 果 两 条 规则 冲突 了 ， 防 火 墙 该 听 谁 的 ， 会 不 会 出 现 防火 墙 停止 正 
常 运行 的 情况 ， 也 许 就 因为 考虑 到 这 些 因 素 ， 至 今 我 没 见 过 有 多 少 个 产品 会 提供 过 滤 规 则 
更 新 功能 的 ， 这 并 不 能 和 杀毒 软件 的 病毒 特征 库 升 级 原理 相提并论 。 

为 了 解决 这 种 鱼 与 能 掌 的 问题 ， 人 们 对 包 过 滤 技 术 进行 了 改进 ， 这 种 改进 后 的 技术 称 
为 "动态 包 过 滤 ”( 市 场 上 存在 一 种 “基于 状态 的 包 过 滤 防 火 墙 ? 技 术 , 即 stateful-based packet 
filtering， 它 们 其 实 是 同一 类 型 ) ， 与 它 的 前 辈 相 比 ， 动 态 包 过 滤 功 能 在 保持 着 原 有 静态 包 
过 滤 技术 和 过 滤 规 则 的 基础 上 ， 会 对 已 经 成 功 与 计算 机 连接 的 报 文 传输 进行 跟踪 ， 并 且 判 
断 该 连接 发 送 的 数据 包 是 否 会 对 系统 构成 威胁 ， 一 旦 触发 其 判断 机 制 ， 防 火 墙 就 会 自动 产 
生 新 的 临时 过 滤 规 则 或 者 把 已 经 存在 的 过 滤 规 则 进行 修改 ， 从 而 阻止 该 有 害 数 据 的 继续 传 
输 ， 但 是 由 于 动态 包 过 滤 需 要 消耗 额外 的 资源 和 时 间 来 提取 数据 包 内 容 进行 判断 处 理 ， 所 
以 与 静态 包 过 滤 相 比 ， 它 会 降低 运行 效率 ， 但 是 静态 包 过 滤 已 经 几乎 退出 市 场 了 ， 我 们 能 
选择 的 ， 大 部 分 也 只 有 动态 包 过 滤 防 火 墙 了 。 

基于 包 过 滤 技 术 的 防火 墙 ， 其 缺点 是 很 显著 的 : 它 得 以 进行 正常 工作 的 一 切 依据 都 在 
于 过 滤 规 则 的 实施 ， 但 是 偏 又 不 能 满足 建立 精细 规则 的 要 求 〈 规 则 数量 和 防火 墙 性 能 成 反 
比 ) ， 而 且 它 只 能 工作 于 网 络 层 和 传输 层 ， 并 不 能 判断 高 级 协议 里 的 数据 是 否 有 害 ， 但 是 
由 于 它 廉 价 ， 容 易 实现 ， 所 以 它 依然 服役 在 各 种 领域 ， 在 技术 人 员 频 繁 的 设置 下 为 我 们 工 
作 着 。 

2. 应 用 代理 技术 

由 于 包 过 滤 技 术 无 法 提供 完善 的 数据 保护 措施 ， 而 且 一 些 特殊 的 报 文 攻击 仅仅 使 用 过 
滤 的 方法 并 不 能 消除 危害 (如 syn 攻击 、icmp 洪水 等 ) ， 因 此 人 们 需要 一 种 更 全 面 的 防火 
墙 保护 技术 ， 在 这 样 的 需求 背景 下 ， 采 用 “应 用 代理 ”技术 的 防火 墙 诞生 了 。 代 理 服务 器 
作为 一 个 为 用 户 保密 或 者 突破 访问 限制 的 数据 转发 通道 ， 在 网 络 上 广泛 应 用 。 一 个 完整 的 
代理 设备 包含 一 个 服务 端 和 客户 端 ， 服 务 端 接收 来 自用 户 的 请 求 ， 调 用 自身 的 客户 端 模拟 
一 个 基于 用 户 请 求 的 连接 到 目标 服务 器 ， 再 把 目标 服务 器 返回 的 数据 转发 给 用 户 ， 完 成 一 
次 代理 工作 过 程 。 那 么 ， 如 果 在 一 台 代理 设备 的 服务 端 和 客户 端 之 间 连 接 一 个 过 滤 措 施 ， 
这 样 的 思想 便 造 就 了 “应 用 代理 ”防火 墙 ， 这 种 防火 墙 实际 上 就 是 一 台 小 型 的 带 有 数据 检 
测 过 滤 功 能 的 透明 代理 服务 器 ， 但 是 它 并 不 是 单纯 地 在 一 个 代理 设备 中 绕 入 包 过 滤 技 术 ， 
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而 是 一 种 被 称 为 “应 用 协议 分 析 ” 的 新 技术 。 

“应 用 协议 分 析 ” 技 术 工 作 在 OSI 模型 的 最 高 层 应 用 层 上 ， 在 这 一 层 里 能 接触 到 
的 所 有 数据 都 是 最 终 形式 ， 也 就 是 说 ， 防 火 墙 “看 到 ”的 数据 和 我 们 看 到 的 是 一 样 的， 而 
不 是 一 个 个 带 着 地 址 端口 协议 等 原始 内 容 的 数据 包 ， 因 而 它 可 以 实现 更 高 级 的 数据 检测 过 
程 。 整 个 代理 防火 墙 把 自身 映射 为 一 条 透明 线路 ， 在 用 户 方面 和 外 界线 路 看 来 ， 它 们 之 间 
的 连接 并 没有 任何 阻碍 ， 但 是 这 个 连接 的 数据 收发 实际 上 是 经 过 了 代理 防火 墙 转向 的 ， 当 
外 界 数据 进入 代理 防火 墙 的 客户 端 时 ，“ 应 用 协议 分 析 ” 模 块 便 根据 应 用 层 协 议 处 理 这 个 
数据 ， 通 过 预 置 的 处 理 规则 《〈 没 错 ， 又 是 规则 ， 防 火 墙 离 不 开 规则 ) 查询 这 个 数据 是 否 带 
有 危害， 由 于 这 一 层面 对 的 已 经 不 再 只 是 组 合 有 限 的 报 文 协议 ， 甚 至 可 以 识别 类 似 于 “get 
/sql.asp?id=1 and 1” 的 数据 内 容 ， 所 以 防火 墙 不 仅 能 根据 数据 层 提 供 的 信息 判断 数据 ， 更 
能 像 管理 员 分 析 服 务 器 日 志 那 样 “ 看 ”内 容 辨 危害。 而 且 由 于 工作 在 应 用 层 ， 防 火 墙 还 可 
以 实现 双向 限制 ， 在 过 滤 外 部 网 络 有 害 数据 的 同时 也 监控 着 内 部 网 络 的 信息 ， 管 理 员 可 以 
配置 防火 墙 实现 一 个 身份 验证 和 连接 时 限 的 功能 ， 进 一 步 防止 内 部 网 络 信 息 泄露 的 隐患 。 

最 后 ， 由 于 代理 防火 墙 采 取 的 是 代理 机 制 进行 工作 ， 内 外 部 网 络 之 间 的 通信 都 需 先 
经 过 代理 服务 器 审核 ， 通 过 后 再 由 代理 服务 器 连接 ， 根 本 没有 给 分 隔 在 内 外 部 网 络 两 边 
的 计算 机 直接 会 话 的 机 会 ， 可 以 避免 入 侵 者 使 用 “数据 驱动 ”攻击 方式 〈 一 种 能 通过 包 
过 滤 技 术 防 火 墙 规则 的 数据 报 文 ， 但 是 当 它 进入 计算 机 处 理 后 ， 却 变 成 能 够 修改 系统 设 
置 和 用 户 数据 的 恶意 代码 ) 渗透 内 部 网 络 ， 可 以 说 ，“ 应 用 代理 ”是 比 包 过 滤 技 术 更 完 
善 的 防火 墙 技 术 。 

但 是 ， 似 乎 任何 东西 都 不 可 能 逃避 “ 墨 菲 定律 ”的 规则 ， 代 理 型 防火 墙 的 结构 特征 偏 
偏 正 是 它 的 最 大 缺点 ， 由 于 它 是 基于 代理 技术 的 ， 通 过 防火 墙 的 每 个 连接 都 必须 建立 在 为 
之 创建 的 代理 程序 进程 上 ， 而 代理 进程 自身 是 要 消耗 一 定时 间 的 ， 更 何况 代理 进程 里 还 有 
一 套 复 杂 的 协议 分 析 机 制 在 同时 工作 ， 于 是 数据 在 通过 代理 防火 墙 时 就 不 可 避免 地 发 生 数 
据 迟 滞 现 象 ， 换 个 形象 的 说 法 ， 每 个 数据 连接 在 经 过 代理 防火 墙 时 都 会 先 被 “请 进 保安 室 
喝 杯 茶 搜 搜 身 ”再 继续 赶路 ， 而 “保安 ”的 工作 速度 并 不 能 很 快 。 代 理 防 火 墙 是 以 牺牲 速 
度 为 代价 换取 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 能 ， 在 网 络 吞 吐 量 不 是 很 大 的 情况 下 ， 也 许 
用 户 不 会 察觉 到 什么 ， 然 而 到 了 数据 交换 频繁 的 时 刻 ， 代 理 防火 墙 就 成 了 整个 网 络 的 瓶颈 ， 
而 且 一 旦 防火 墙 的 硬件 配置 支撑 不 住 高 强度 的 数据 流量 而 发 生 黑 工 ， 整 个 网 络 可 能 就 会 因 
此 瘫痪 了 。 所 以 ， 代 理 防火 墙 的 普及 范围 还 远 远 不 及 包 过 滤 型 防火 墙 ， 而 在 软件 防火 墙 方 
面 更 是 几乎 没 见 过 类 似 产 品 了 一 -单机 并 不 具备 代理 技术 所 需 的 条 件 , 所 以 就 目前 整个 庞大 
的 软件 防火 墙 市 场 来 说 ， 代 理 防 火 墙 很 难 有 立足 之 地 。 

3. 状态 监视 技术 

这 是 继 “ 包 过 滤 ” 技 术 和 “应 用 代理 ”技术 后 发 展 的 防火 墙 技术 ， 它 是 checkpoint 技 
术 公 司 在 基于 “ 包 过 滤 ” 原 理 的 “动态 包 过 滤 ” 技 术 发 展 而 来 的 ， 与 之 类 似 的 有 其 他 厂商 
联合 发 展 的 “深度 包 检 测 ” (deep packet inspection) 技术 。 这 种 防火 墙 技术 通过 一 种 被 称 
为 “状态 监视 ”的 模块 ， 在 不 影响 网 络 安全 正常 工作 的 前 提 下 采用 抽取 相关 数据 的 方法 对 
网 络 通信 的 各 个 层次 实行 监测 ， 并 根据 各 种 过 滤 规 则 作出 安全 决策 。 

“状态 监视 ” (Stateful Inspection) 技术 在 保留 了 对 每 个 数据 包 的 头 部 、 协 议 、 地 址 、 
端口 、 类 型 等 信息 进行 分 析 的 基础 上 ， 进 一 步 发 展 了 “会 话 过 滤 ” (Session Filtering) 功 
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能 ， 在 每 个 连接 建立 时 ， 防 火 墙 会 为 这 个 连接 构造 一 个 会 话 状态 ， 里 面包 含 了 这 个 连接 
数据 包 的 所 有 信息 ， 以 后 这 个 连接 都 基于 这 个 状态 信息 进行 ， 这 种 检测 的 高 明之 处 是 能 
对 每 个 数据 包 的 内 容 进行 监视 ， 一 旦 建立 了 一 个 会 话 状态 ， 则 此 后 的 数据 传输 都 要 以 此 
会 话 状态 作为 依据 ， 例 如 一 个 连接 的 数据 包 源 端口 是 8000， 那 么 在 以 后 的 数据 传输 过 程 
里 防火 墙 都 会 审核 这 个 包 的 源 端口 还 是 不 是 8000， 和 否则 这 个 数据 包 就 被 拦截 ， 而 且 会 话 
状态 的 保留 是 有 时 间 限 制 的 ， 在 超时 的 范围 内 如 果 没 有 再 进行 数据 传输 ， 这 个 会 话 状态 
就 会 被 丢弃 。 状 态 监视 可 以 对 包 内 容 进行 分 析 ， 从 而 摆脱 了 传统 防火 墙 仅 局 限于 几 个 包 
头 部 信息 的 检测 弱点 ， 而 且 这 种 防火 墙 不 必 开 放 过 多 端口 ， 进 一 步 杜绝 了 可 能 因为 开放 
端口 过 多 而 带 来 的 安全 隐患 。 

由 于 状态 监视 技术 相当 于 结合 了 包 过 滤 技 术 和 应 用 代理 技术 ， 因 此 是 最 先进 的 ， 但 是 
由 于 实现 技术 复杂 ， 在 实际 应 用 中 还 不 能 做 到 真正 的 完全 有 效 的 数据 安全 检测 ， 而 且 在 一 
般 的 计算 机 硬件 系统 上 很 难 设计 出 基于 此 技术 的 完善 防御 措施 。 


4.1.4 防火 墙 体系 结构 及 组 合 形式 


目前 ， 防 火 墙 的 体系 结构 一 般 有 以 下 几 种 : 屏蔽 路 由 器 ， 双 重 宿主 主机 体系 结构 ， 被 
屏蔽 主机 体系 结构 和 被 屏蔽 子 网 体系 结构 。 

1. 屏蔽 路 由 器 

这 是 防火 墙 最 基本 的 构件 。 它 可 以 由 厂家 专门 生产 的 路 由 器 实现 ， 也 可 以 用 主机 来 实 
现 。 屏 蔽 路 由 器 作为 内 外 连接 的 唯一 通道 ， 要 求 所 有 的 报 文 都 必须 在 此 通过 检查 。 路 由 器 
上 可 以 装 基于 IP 层 的 报 文 过 滤 软 件 ， 实 现 报 文 过 滤 功 能 。 许 多 路 由 器 本 身 带 有 报 文 过 滤 配 
置 选项 ， 但 一 般 比 较 简 单 。 

单纯 由 屏蔽 路 由 器 构成 的 防火 墙 的 危险 带 包括 路 由 器 本 身 及 路 由 器 允许 访问 的 主机 。 
它 的 缺点 是 一 旦 被 攻陷 后 很 难 发 现 ， 而 且 不 能 识别 不 同 的 用 户 。 

2. 双 穴 主机 网 关 

双 穴 主机 网 关 是 围绕 具有 双重 宿主 的 主机 计算 机 而 构筑 的 ， 该 计算 机 至 少 有 两 个 网 络 
接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ; 它 能 够 从 一 个 网 络 到 另 
一 个 网 络 发 送 全 数据 包 。 然 而 ， 实 现 双 穴 主机 网 关 的 防火 墙 体系 结构 禁止 这 种 发 送 功 能 。 
因而 ， 卫 数据 包 从 一 个 网 络 〈 例 如 外 部 网 ) 并 不 是 直接 发 送 到 其 他 网 络 〈 例 如 内 部 的 被 保 
护 的 网 络 ) 。 防 火 墙 内 部 的 系统 能 与 双 穴 主机 网 关 通 信 ， 同 时 防火 墙 外 部 的 系统 能 与 双 穴 
主机 网 关 通 信 ， 但 是 这 些 系统 不 能 直接 互相 通信 。 它 们 之 间 的 下 通信 被 完全 阻止 。 
双 穴 主机 网 关 的 防火 墙 体 系 结构 是 相当 简单 的 ， 双 穴 主 机 网 关 位 于 两 者 之 间 ， 并 且 被 
连接 到 外 部 网 和 内 部 网 。 如 图 4-1 所 示 。 


、 


图 4-1 双重 宿主 主机 体系 结构 
双 穴 主机 网 关 优 于 屏蔽 路 由 器 的 地 方 是 : 堡垒 主机 的 系统 软件 可 用 于 维护 系统 日 志 、 
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硬件 复制 日 志 或 远程 日 志 。 这 对 于 日 后 的 检查 很 有 用 ， 但 这 不 能 帮助 网 络 管理 者 确认 内 网 
中 哪些 主机 可 能 已 被 黑客 入 侵 。 

双 穴 主机 网 关 的 一 个 致命 弱点 是 : 一 旦 入 侵 者 侵入 堡垒 主机 并 使 其 只 具有 路 由 功能 ， 
则 任何 网 上 用 户 均 可 以 随便 访问 内 网 。 
3. 被 屏蔽 主机 网 关 
双 穴 主机 网 关 体 系 结构 提供 来 自 与 多 个 网 络 相连 的 主机 的 服务 (但 是 路 由 关闭 )， 而 被 
屏蔽 主机 网 关 体 系 结构 使 用 一 个 单独 的 路 由 器 提供 来 自 仅 仅 与 内 部 的 网 络 相连 的 主机 的 服 
务 。 如 图 4-2 所 示 。 在 这 种 体系 结构 中 ， 主 要 的 安全 由 数据 包 过 滤 提 供 《〈 例 如 ， 数 据 包 过 
滤 用 于 防止 人 们 绕 过 代理 服务 器 直接 相连 ) 。 


在 屏蔽 的 路 由 器 上 的 数据 包 过 滤 是 按 这 样 一 种 方法 设置 的 : 即 堡垒 主机 是 Intemet 上 的 
主机 能 连接 到 内 部 网 络 上 的 系统 的 桥梁 〈 例 如， 传送 进来 的 电子 邮件 ) 。 即 使 这 样 ， 也 仅 
有 某 些 确 定 类 型 的 连接 被 允许 。 任 何 外 部 的 系统 试图 访问 内 部 的 系统 或 者 服务 将 必须 连接 
到 这 人 台 堡 又 主机 上 。 因 此 ， 堡 又 主机 需要 拥有 高 等 级 的 安全 。 

数据 包 过 滤 也 允许 堡垒 主机 开放 可 允许 的 连接 (什么 是 “可 允许 ”将 由 用 户 的 站 点 的 
安全 策略 决定 ) 到 外 部 世界 。 

在 屏蔽 的 路 由 器 中 数据 包 过 滤 配 置 可 以 按 下 列 之 一 执行 。 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 Intemet 上 的 主机 连接 〈 即 允许 那些 已 经 由 
数据 包 过 滤 的 服务 ) 。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 〈 强 人 迫 那 些 主机 经 由 堡垒 主机 使 用 代理 服务 ) 。 

用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手 段 ， 某 些 服 务 可 以 被 允许 直接 经 由 数据 包 过 
滤 ， 而 其 他 服务 可 以 被 允许 仅仅 间接 地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 
因为 这 种 体系 结构 允许 数据 包 从 Internet 向 内 部 网 的 移动 , 所 以 , 它 的 设计 比 没有 外 部 
数据 包 能 到 达 内 部 网 络 的 双 穴 主机 网 关 体系 结构 似乎 是 更 冒 风险 。 实 际 上 双 穴 主机 网 关 体 
系 结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 的 网 络 也 容易 产生 失败 。 进 而 言 之 ， 保 卫 路 由 器 
比 保卫 主机 较 易 实现 ， 因 为 它 提 供 非常 有 限 的 服务 组 。 多 数 情况 下 ， 被 屏蔽 主机 网 关 体 系 
结构 提供 比 双 穴 主机 网 关 体系 结构 具有 更 好 的 安全 性 和 可 用 性 。 

4. 被 屏蔽 子 网 

屏蔽 子 网 体系 结构 通过 添加 额外 的 安全 层 到 被 屏蔽 主机 体系 结构 ， 即 通过 添加 周边 网 
络 更 进一步 地 把 内 部 网 络 与 Intemet 隔离 开 。 如 图 4-3 所 示 ， 在 这 种 结构 下 ， 即 使 攻破 了 堡 
人 又 主机 ， 也 不 能 直接 侵入 内 部 网 络 〈 他 将 必须 通过 内 部 路 由 器 ) 。 

堡垒 主机 是 用 户 的 网 络 上 最 容易 受 侵 袭 的 机 器 。 任 赁 用 户 尽 最 大 的 力气 去 保护 它 ， 它 
仍 是 最 有 可 能 被 侵袭 的 机 器 ， 因 为 它 本 质 上 是 能 够 被 侵袭 的 机 器 。 如 果 在 屏蔽 主机 体系 结 
构 中 ， 用 户 的 内 部 网 络 对 来 自用 户 的 堡垒 主机 的 侵袭 门户 洞开 ， 那 么 用 户 的 堡垒 主机 是 非 


图 4-2 ” 单 地 址 堡垒 主机 
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常 诱 人 的 攻击 目标 。 在 它 与 用 户 的 其 他 内 部 机 器 之 间 没 有 其 他 的 防御 手段 时 〈 除 了 它们 可 
能 有 的 主机 安全 之 外 ， 这 通常 是 非常 少 的 ) 。 如 果 有 人 成 功 地 侵入 屏蔽 主机 体系 结构 中 的 
堡垒 主机 ， 那 就 毫 无 阻挡 地 进入 了 内 部 系统 。 


We 


' 
~ 


图 4-3 ”屏蔽 子 网 体系 结构 

通过 在 周边 网 络 上 隔离 堡垒 主机 ， 能 减少 在 堡垒 主机 上 侵入 的 影响 。 可 以 说 ， 它 只 给 
入 侵 者 一 些 访问 的 机 会 ， 但 不 是 全 部 。 屏 蔽 子 网 体系 结构 的 最 简单 的 形式 为 ， 两 个 屏蔽 路 
由 器 ， 每 一 个 都 连接 到 周边 网 。 一 个 位 于 周边 网 与 内 部 网 络 之 间 ， 另 一 个 位 于 周边 网 与 外 
部 网 络 之 间 (通常 为 nternet) 。 为 了 侵入 用 这 种 类 型 的 体系 结构 构筑 的 内 部 网 络 ， 侵 袭 者 
必须 要 通过 两 个 路 由 器 。 即 使 侵袭 者 设法 侵入 堡 拿 主 机 ， 他 将 仍然 必须 通过 内 部 路 由 器 。 
在 此 情况 下 ， 没 有 损害 内 部 网 络 的 单一 的 易 受 侵袭 点 。 作 为 入 侵 者 ， 只 是 进行 了 一 次 访问 。 

1) 周边 网 络 

周边 网 络 是 另 一 个 安全 层 ， 是 在 外 部 网 络 与 用 户 的 被 保护 的 内 部 网 络 之 间 的 附加 的 网 
络 。 如 果 侵 袭 者 成 功 地 侵入 用 户 的 防火 墙 的 外 层 领域 ， 周 边 网 络 在 那个 侵袭 者 与 用 户 的 内 
部 系统 之 间 提 供 一 个 附加 的 保护 层 。 

在 许多 网 络 结构 中 ， 用 给 定 网 络 上 的 任何 机 器 来 查看 这 个 网 络 上 的 每 一 台 机 器 的 通信 
是 可 能 的 ， 如 以 太 网 、 令 牌 环 和 FDDI。 探 听 者 可 以 监听 Telnet、FTP 以 及 rlogin 会 话 期 间 
使 用 过 的 口令 ， 偷 看 敏感 信息 等 ， 探 听 者 能 完全 监视 何人 在 使 用 网 络 。 

对 于 周边 网 络 ， 如 果 攻 击 者 侵入 周边 网 络 上 的 堡垒 主机 ， 他 也 仅 能 探听 到 周边 网 上 的 
通信 ， 内 部 网 络 的 通信 仍 是 安全 的 。 

2) 堡垒 主机 

在 屏蔽 的 子 网 体系 结构 中 ， 用 户 把 堡垒 主 机 连接 到 周边 网 ， 这 台 主 机 便 是 接受 来 自 外 
界 连 接 的 主要 入 口 。 例 如 : 对 于 进来 的 电子 邮件 (SMTP) 会 话 ， 传 送 电子 邮件 到 站 点 ; 对 
于 进来 的 FTP 连接 ， 转 接 到 站 点 的 匿名 FTP 服务 器 对 于 进来 的 域名 服务 (DNS ) 站 点 查 
询 等 等 。 

从 内 部 的 客户 端 到 在 Intemet 上 的 服务 器 的 出 站 服务 按 如 下 任 一 方法 处 理 : 在 外 部 和 内 
部 的 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服务 器 ;设置 代理 服务 
器 在 堡垒 主机 上 运行 来 允许 内 部 的 客户 端 间接 地 访问 外 部 的 服务 器 。 用 户 也 可 以 设置 数据 
包 过 滤 来 允许 内 部 的 客户 端 在 堡垒 主机 上 同 代理 服务 器 交谈 ， 反 之 亦 然 。 但 是 禁止 内 部 的 
客户 端 与 外 部 世界 之 间 直 接 通信 〈 即 拨号 入 网 方式 ) 。 

3) 内 部 路 由 器 

内 部 路 由 器 有 时 被 称 为 阻塞 路 由 器 ， 它 保护 内 部 的 网 络 使 之 免 受 Internet 和 周边 网 
的 侵犯 。 

内 部 路 由 器 为 用 户 的 防火 墙 执 行 大 部 分 的 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 到 Internet 
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的 有 选择 的 出 站 服务 。 

内 部 路 由 器 所 人 允许 的 在 堡垒 主机 和 用 户 的 内 部 网 之 间 服 务 可 以 不 同 于 内 部 路 由 器 所 多 
许 的 在 Intemet 和 用 户 的 内 部 网 之 间 的 服务 .限制 堡垒 主机 和 内 部 网 之 间 服 务 的 理由 是 减少 
了 堡垒 主机 被 攻破 时 对 内 部 网 的 危害 。 

4) 外 部 路 由 器 

外 部 路 由 器 有 时 被 称 为 访问 路 由 器 ， 保 护 周 边 网 和 内 部 网 使 之 免 受 来 自 Intemet 的 侵 
犯 。 实际 上 ， 外 部 路 由 器 倾向 于 允许 几乎 任何 东西 从 周边 网 出 站 ， 并 且 它 们 通常 只 执行 非 
常 少 的 数据 包 过 滤 。 保 护 内 部 机 器 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基本 上 
应 该 是 一 样 的 ; 如 果 在 规则 中 有 允许 侵袭 者 访问 的 错误 ， 错 误 就 可 能 出 现在 两 个 路 由 器 上 。 

一 般 ， 外 部 路 由 器 由 外 部 群 组 提供 《例如 用 户 的 Intemet 供应 商 ) ， 同 时 用 户 对 它 的 访 
问 被 限制 。 外 部 群 组 可 能 愿意 放 入 一 些 通用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ， 但 是 不 愿意 
使 用 维护 复杂 或 者 频繁 变化 的 规则 组 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 之 一 是 : 阻止 从 Intemet 上 伪造 源 地 址 进来 的 任何 
数据 包 。 这 样 的 数据 包 自 称 来 自 内 部 的 网 络 ， 但 实际 上 是 来 自 Intemet。 

5. 防火墙 的 组 合 形式 

建造 防火 墙 时 ， 一 般 很 少 采用 单一 的 技术 ， 通 常 是 多 种 解决 不 同 问题 的 技术 的 组 合 。 
这 种 组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 样 的 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 风 
险 。 采 用 哪 种 技术 主要 取决 于 经 费 ， 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 一 般 有 
以 下 几 种 形式 : 

@ 使 用 多 堡垒 主机 ; 
合并 内 部 路 由 器 与 外 部 路 由 器 ; 
合并 堡 公主 机 与 外 部 路 由 器 
合并 堡垒 主机 与 内 部 路 由 器 
使 用 多 台 内 部 路 由 器 ; 
使 用 多 台 外 部 路 由 器 
使 用 多 个 周边 网 络 ; 

@ 使 用 双重 宿主 主机 与 屏蔽 子 网 。 

通常 建立 防火 墙 的 目的 在 于 保护 内 部 网 免 受 外 部 网 的 侵扰 ， 但 内 部 网 络 中 每 个 用 户 所 
需要 的 服务 和 信息 经 常 是 不 一 样 的 ， 它 们 对 安全 保障 的 要 求 也 不 一 样 。 例 如 ， 财 务 部 分 与 
其 他 部 分 分 开 ， 人 事 档 案 部 分 与 办 公 管 理 分 开 等 。 还 需要 对 内 部 网 的 部 分 站 点 再 加 以 保护 
以 免 受 内 部 的 其 他 站 点 的 侵袭 ， 即 在 同一 结构 的 两 个 部 分 之 间 ， 或 者 在 同一 内 部 网 的 两 个 
不 同 组 织 结构 之 间 再 建立 防火 墙 ， 也 就 是 内 部 防火 墙 。 许 多 用 于 建立 外 部 防火 墙 的 工具 与 
技术 也 可 用 于 建立 内 部 防火 墙 。 


4.2 用 协议 分 析 工 具 学 习 TCP/IP 


TCP/IP 协议 是 网 络 通信 的 基础 ， 而 防火 墙 又 是 网 络 安全 的 基础 ， 了 解 TCP/IP 协议 是 
了 解 防 火 墙 的 工作 原理 和 配置 方法 的 基础 ， 只 有 对 TCP/IP 协议 有 了 基本 的 了 解 , 才能 理解 
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防火 墙 的 工作 原理 以 及 配置 理由 。 
下 面 通过 一 个 试验 来 了 解 TCP/IP 协议 的 相关 知识 ， 利 用 协议 分 析 工 具 学 习 TCP/IP， 


在 学 习 的 过 程 中 能 直观 地 看 到 数据 的 具体 传输 过 程 。 


4.2.1 试验 环境 
进行 本 试验 需要 合适 的 网 络 环境 以 及 对 应 的 工具 ， 具 体 包括 两 台 安装 Windows 2000 
计算 机 以 及 协议 分 析 工 具 IRIS 。 


1. 网 络 环境 
网 络 环境 要 求 这 两 台 计算 机 能 够 互相 连接 在 一 个 网 络 环境 中 ， 如 图 4-4 所 示 。 


208 号 机 〈 地 址 为 192.168.1.2) 1 号 机 〈 地 址 为 192.168.1.166) 
图 4-4 网 络 示意 图 
为 了 表述 方便 ， 用 客户 机 代表 地 址 为 192.168.1.2 的 计算 机 ， 用 服务 器 代表 地 址 为 


192.168.1.166 的 计算 机 。 


2. 操作 系统 
两 台 机 器 都 为 Windows 2000 ， 在 服务 器 上 安装 FTP 服务 。 


3. 协议 分 析 工具 
在 客户 机 安装 TCP/IP 协议 分 析 工 具 IRIS 软件 。 


4.2.2 测试 过 程 
1. 测试 例子 
将 服务 器 计算 机 中 的 一 个 文件 通过 FTP 下 载 到 客户 机 中 。 


2.IRIS 的 设置 
使 用 IRIS 做 TCP/IP 协议 分 析 以 前 需要 对 软件 做 适当 的 配置 ， 有 具体 步骤 如 下 。 
(1) 软件 安装 完成 后 第 一 次 运行 ， 会 出 现 Setting 窗口 ， 如 图 4-5 所 示 。 


Adapters 


[Bealtek FTLB139 (A) FCI Fast Ethernet Adapter 
[D-Link DFI-S3OTX FCI Fast Ethernet Adapter (Kev 5) 
(CIC Eateraet P.P.P.o.E Adepter 


Ce | ww | mew | 
图 4-5 网 卡 设置 窗口 
(2) 选择 窗口 左边 列表 中 的 Adapters， 然 后 在 右边 窗口 中 选择 需要 监控 的 网 卡 ， 然 后 
单 击 “ 确 定 ” 按 钮 ， 出 现 IRIS 主 窗口 ， 如 图 4-6 所 示 。 
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图 4-6 IRIS 主 窗口 


(3) 按 CtrltB 键 弹出 Address Book 对 话 框 ， 如 图 4-7 所 示 ， 在 表 中 填写 客户 机 和 服 
务 器 的 卫 地址 ， 或 者 单 击 窗 口 左 边 的 Discover Host 按钮 ， 自 动 发 现 客户 机 和 服务 器 的 他 

(4) 按 CtrltE 键 弹出 Edit filter settings 对 话 框 ， 选 择 窗口 左边 IP address 项 ， 从 窗口 
右边 的 了 address 框 中 找 出 客户 机 和 服务 器 的 瑟 地 址 ， 将 它们 拖 到 下 面 的 列表 框 中 ， 在 选 
择 客户 端 和 服务 器 之 间 的 数据 包 方 向 为 双向 ， 如 图 4-8 所 示 。 


OD | am 了 | MAC address | MAC alas |IPaddress |Type | [FT 
训 |soremr 人 以 计时 
3 
te | arm: | 
学 at | < fr 
回 
El 
4 
EA 
取消 ea) 痢 助 
图 4-7 了 P 地 址 表 图 4-8 设置 也 地 址 
3. 抓 包 
抓 取 数据 包 的 具体 操作 步骤 如 下 。 


(1) 在 IRIS 的 主 窗口 工具 栏 上 ， 单 击 Start/Stop capture 按钮 。 

(2) 在 浏览 器 的 地 址 栏 中 输入 FTP://192.168.1.166， 找 到 要 下 载 的 文件 Test.doc， 如 
图 4-9 所 示 。 

(3) 右 击 该 文件 ， 在 弹出 的 菜单 中 选择 “复制 到 文件 夹 ”命令 ， 出 现 选择 文件 夹 对 话 
框 ， 如 图 4-10 所 示 ， 选 择 本 地 的 一 个 目录 ， 单 击 “ 确 定 ” 按 钮 开始 下 载 。 

(4) 下 载 完 后 在 IRIS 工具 栏 中 单 击 Start/Stop capture 按钮 ， 停 止 抓 包 ， 下 载 文件 的 整 
个 过 程 中 的 数据 包 都 被 抓 取 下 来 ， 如 图 4-11 所 示 。 


提示 : 为 了 能 抓 到 ARP 协议 的 包 ， 在 Windows 2000 中 运行 arp -d 清除 amp 缓存 。 
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图 4-11 完成 抓 包 后 的 窗口 


4.2.3 ”过 程 分 析 


1. TCP/IP 的 基本 原理 
为 了 能 够 对 TCP/IP 协议 的 理解 ， 首 先 简 要 讲 一 下 TCP/IP 的 基本 原理 。 
(1) 网 络 是 分 层 的 ， 每 一 层 分 别 负责 不 同 的 通信 功能 。 
TCP/IP 通常 被 认为 是 一 个 四 层 协 议 系统 , TCP/IP 协议 簇 是 一 组 不 同 的 协议 组 合 在 一 起 
构成 的 协议 徐 。 尽 管 通常 称 该 协议 簇 为 TCP/IIP， 但 TCP 和 卫 只 是 其 中 的 两 种 协议 而 已 ， 
每 一 层 负 责 不 同 的 功能 ， 如 表 4-1 所 示 。 


表 4-1 TCP/IP 的 四 层 协议 系统 


TCP/IP 层 描述 主要 协议 主要 功能 
应 用 层 HTTP、Telnet、FTP | 负责 把 数据 传输 到 传输 层 或 接收 从 传输 层 返 回 的 数据 
和 E-mail 等 
传输 层 TCP 和 UPD 主要 为 两 台 主 机 上 的 应 用 程序 提供 端 到 端的 通信 , TCP 为 两 台 


主机 提供 可 靠 的 数据 通信 . 它 所 做 的 工作 包括 把 应 用 程序 交 给 
它 的 数据 分 成 合适 的 小 块 交 给 下 面 的 网 络 层 , 确认 接收 到 的 分 
组 ， 设 置 发 送 最 后 确认 分 组 的 超时 时 钟 等 。UPD 则 为 应 用 层 

提供 一 种 非常 简单 的 服务 。 它 只 是 把 称 作 数 据 报 的 分 组 从 一 台 
主机 发 送 到 另 一 台 主机 ， 但 并 不 保证 该 数据 能 到 达 另 一 端 
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续 表 


TCP/IP 层 描述 主要 协议 主要 功能 
网 络 层 ICMP、IP 和 IGMP | 有 时 称 作 互联 网 层 , 主要 为 数据 包 选 择 路 由 , 其 中 他 是 TCP/IP 
协议 簇 中 最 为 核心 的 协议 。 所 有 的 TCP、UPD、ICMP 及 IGMP 
数据 协议 都 以 人 P 数据 包 格式 传输 
链 路 层 ARP、RARP 和 设 | 发 送 时 将 他 包 作为 帧 发 送 ， 接收 时 把 接收 到 的 位 组 装 成 帧 ; 


备 驱 动 程序 及 接 
口 卡 
分 层 的 概念 说 起 来 非常 简单 ， 但 在 实际 的 应 用 中 非常 的 重要 ， 在 进行 网 络 设置 和 排除 
故障 时 对 网 络 层次 理解 得 很 透 ， 将 对 工作 有 很 大 的 帮助 。 例 如 : 设置 路 由 是 网 络 层 人 P 协议 
的 事 ， 要 查找 MAC 地 址 是 链 路 层 ARP 的 事 ， 常 用 的 Ping 命令 由 ICMP 协议 来 做 的 。 
各 层 协议 的 关系 如 图 4-12 所 示 ， 理 解 它们 之 间 的 关系 对 下 面 的 协议 分 析 非 常 重要 。 


用 户 进程 | ! 应 用 层 


提供 链 路 管理 、 错 误 检测 等 


网 络 层 


链 路 层 


图 4-12 ”TCP/IP 协议 入 


(2) 数据 发 送 时 是 自 上 而 下 ， 层 层 加 码 ， 数 据 接收 时 是 自 下 而 上 ， 层 层 解码 。 

当 应 用 程序 用 TCP 传送 数据 时 ， 数 据 被 送 入 协议 栈 中 ， 然 后 逐个 通过 每 一 层 直到 被 当 
作 一 串 比 特 流 送 入 网 络 。 其 中 每 一 层 对 收 到 的 数据 都 要 增加 一 些 首部 信息 (有 时 还 要 增加 
尾部 信息 ), 该 过 程 如 图 4-13 所 示 。TCP 传 给 卫 的 数据 单元 称 作 TCP 报 文 段 或 简称 为 TCP 
段 。IP 传 给 网 络 接口 层 的 数据 单元 称 作 他 数据 报 。 通 过 以 太 网 传输 的 比特 流 称 作 帧 
(Frame) 。 

数据 发 送 时 是 按照 图 4-13 自 上 而 下 ， 层 层 加 码 ; 数据 接收 时 是 自 下 而 上 ， 层 层 解码 。 

(3) 逻辑 上 通信 和 是 在 同 级 完成 的 。 

垂直 方向 的 结构 层次 是 当今 普遍 认可 的 数据 处 理 的 功能 流程 。 每 一 层 都 有 与 其 相 邻 
的 接口 。 为 了 通信 ， 两 个 系统 必须 在 各 层 之 间 传 递 数 据 、 指 令 、 地 址 等 信息 ， 通 信 的 逻辑 
流程 与 真正 的 数据 流 的 不 同 。 虽 然 通信 流程 垂直 通过 各 层次 ， 但 每 一 层 都 在 逻辑 上 能 够 直 


并 
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接 与 远程 计算 机 系统 的 相应 层 直接 通信 。 


3 
中 
上 
发 
阳 
| 
洋 
满 


章 1 
b 了 
Wn eww reoww | aa。 | 
尾部 
以 太 网 


| 一 一 一 一 以 关 网 包 一 "| 
46~1500 字 节 


图 4-13 ”数据 传输 示意 图 
通信 实际 上 是 按 垂直 方向 进行 的 ， 但 在 逻辑 上 通信 是 在 同 级 进行 的 ， 如 图 4-14 所 示 。 


本 FTP FTP 协议 TCP 
Re ER Te ?| 服务 器 
站 


图 4-14 ”逻辑 通信 


2. 过 程 描述 
为 了 更 好 地 分 析 协 议 ， 先 描述 一 下 上 述 例子 数据 的 传输 步 又。 如 图 4-15 所 示 。 
(1) FTP 客户 端 请 求 TCP 用 服务 器 的 他 地址 建立 连接 。 
(2) TCP 发 送 一 个 连接 请 求 分 段 到 远 端 的 主机 ， 即 用 上 述 他 地 址 发 送 一 份 他 数据 报 。 
(3) 如 果 目 的 主机 在 本 地 网 络 上 ， 那 么 卫 数据 报 可 以 直接 送 到 目的 主机 上 。 如 果 目 
的 主机 在 一 个 远程 网 络 上 , 那么 就 通过 人 P 选 路 函数 来 确定 位 于 本 地 网 络 上 的 下 一 站 路 由 器 
地 址 ， 并 让 它 转 发 卫 数据 报 。 在 这 两 种 情况 下 ， 卫 数据 报 都 是 被 送 到 位 于 本 地 网 络 上 的 一 
台 主 机 或 路 由 器 。 
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(4) 本 例 是 一 个 以 太 网 ， 那 么 发 送 端 主机 必须 把 32 位 的 人 P 地 址 变换 成 48 位 的 以 太 
网 地 址 ， 该 地 址 也 称 为 MAC 地 址 ， 它 是 出 三 时 写 到 网 卡 上 的 世界 唯一 的 硬件 地 址 。 把 人 P 
地 址 翻译 到 对 应 的 MAC 地 址 是 由 ARP 协议 完成 的 。 

(5) 如 图 的 虚线 所 示 ，ARP 发 送 一 份 称 作 ARP 请 求 的 以 太 网 数据 帧 给 以 太 网 上 的 每 
个 主机 ， 这 个 过 程 称 作 广 播 。ARP 请 求 数据 帧 中 包含 目的 主机 的 他 地址， 其 意思 是 “如 果 
你 是 这 个 他 地 址 的 拥有 者 ， 请 回答 你 的 硬件 地 址 。” 

(6) 目的 主机 的 ARP 层 收 到 这 份 广播 后 ， 识 别 出 这 是 发 送 端 在 寻 问 它 的 他 地址， 于 
是 发 送 一 个 ARP 应答。 这 个 ARP 应 答 包含 他 地址 及 对 应 的 硬件 地 址 。 

(7) 收 到 ARP 应 答 后 ， 使 ARP 进行 请 求 一 应 答 交 换 的 他 数据 包 现 在 就 可 以 传送 了 。 

(8) 发 送 正 数据 报到 目的 主机 。 


上 


ARP 请 求 ( 以 太 网 广播 ) vy 


44-----------------Tr------- 


以 太 网 
驱动 程序 
-Pp 


图 4-15 通信 过 程 示 意图 


4.2.4 实例 分 析 

下 面 通过 分 析 用 iris 捕获 的 包 来 分 析 一 下 TCP/IP 的 工作 过 程 ， 为 了 更 清晰 地 解释 数据 
传送 的 过 程 ， 我 们 按 传输 的 不 同 阶段 抓 了 四 组 数据 ， 分 别 是 查找 服务 器 、 建 立 连接 、 数 据 
传输 和 终止 连接 。 每 组 数据 ， 按 照 显示 数据 包 、 解 释 该 数据 包 、 分 析 该 包 的 头 信息 三 步 进 
行 解释 。 
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1. 查找 服务 器 
(1) 显示 数据 包 
第 三 个 和 第 四 个 数据 包 是 ARP 数据 包 , 这 两 行 数据 就 是 查找 服务 器 及 服务 器 应 答 的 过 
程 ， 如 图 4-16 所 示 。 


图 4-16 抓 取 的 ARP 包 


(2) 解释 数据 包 

在 第 3 行 中 ， 源 端 主机 的 MAC 地 址 是 00:0A:EB:22:0A:E6。 目 的 端 主机 的 MAC 地 址 
是 FF:FF:FF:FF:FF:FF， 这 个 地 址 是 十 六 进 制 表示 的 ，F 换算 为 二 进 制 就 是 1111， 全 1 的 地 
址 就 是 广播 地 址 。 所 谓 广 播 就 是 向 本 网 上 的 每 台 网 络 设备 发 送信 息 ， 电 缆 上 的 每 个 以 太 网 
接口 都 要 接收 这 个 数据 帧 并 对 它 进 行 处 理 , 这 一 行 反映 的 是 4.2.3 节 第 2 小 节 过 程 描述 中 步 
又 (5) 的 内 容 ，ARP 发 送 一 份 称 作 ARP 请 求 的 以 太 网 数据 帧 给 以 太 网 上 的 每 个 主机 。 网 
内 的 每 个 网 卡 都 接 到 这 样 的 信息 “ 谁 是 192.168.1.166 的 卫 地 址 的 拥有 者 , 请 将 你 的 硬件 地 
址 告诉 我 ”。 

第 4 行 反映 的 是 4.2.3 节 第 2 小 节 过 程 描述 中 步骤 (6) 的 内 容 。 在 同一 个 以 太 网 中 的 
每 台 机 器 都 会 “接收 ”到 这 个 报 文 ， 但 正常 状态 下 除了 服务 器 外 其 他 主机 应 该 会 忽略 这 个 
报 文 ， 而 服务 器 的 ARP 层 收 到 这 份 广播 报 文 后 ， 识 别 出 这 是 发 送 端 在 寻 问 它 的 人 P 地 址 ， 
于 是 发 送 一 个 ARP 应 答 。 告知 自 己 的 耳 地 址 和 MAC 地 址 。 第 4 行 可 以 清楚 地 看 出 服务 器 
回答 的 信息 ， 其 MAC 地 址 00:02:3F:00:F1:B1。 
这 两 行 反映 的 是 数据 链 路 层 之 间 一 问 一 答 的 通信 过 程 。 这 个 过 程 就 像 我 要 在 一 个 坐 满 
人 的 教室 找 一 个 叫 “ 张 三 ”的 人 ， 在 门口 喊 了 一 声 “ 张 三 ”， 这 一 声 大 家 都 听见 了 ， 这 就 
叫 广播 。 张 三 听 到 后 有 回应 ， 别 人 听 到 了 没有 回应 ， 这 样 就 与 张 三 取得 了 联系 。 

(3) 头 信息 分 析 

选择 第 5 个 数据 包 ， 从 窗口 左边 看 到 两 个 头 信息 :以太 网 (Ethernet) 和 ARP， 如 图 
4-17 所 示 。 

以 太 网 的 头 信息 包 括 三 个 部 分 ， 目 的 MAC 地 址 、 源 MAC 地 址 和 帧 类 型 ， 如 表 4-2 所 
示 ， 括 号 内 的 数 均 为 该 字段 所 占 字 节 数 ， 以 太 网 报头 中 的 前 两 个 字段 是 以 太 网 的 源 地 址 和 
目的 地 址 。 目 的 地 址 为 全 1 的 特殊 地 址 是 广播 地 址 。 电 缆 上 的 所 有 以 太 网 接口 都 要 接收 广 
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播 的 数据 帧 。 两 个 字 节 长 的 以 太 网 帧 类 型 表示 后 面 数据 的 类 型 。 对 于 ARP 请 求 或 应 答 来 说 ， 
该 字段 的 值 为 0806。 


EPE | 


EIA HI EI TT EE 


Ra 丽 WD55 

图 4-17 数据 包头 信息 

第 2 行 中 可 以 看 到 ， 尽 管 ARP 请 求 是 广播 的 ， 但 是 ARP 应 答 的 目的 地 址 却 是 服务 器 
MAC 地 址 (00:02:3F:00:F1:B1) 。ARP 应 答 是 直接 送 到 请 求 端 主机 的 ， 如 表 4-2 所 示 。 


表 4-2 ARP 应 答 


以 太 网 目的 地 址 (6) 以 太 网 源 地 址 〈6) 帧 类 型 (2) 


FEE EE TE EE EE 00:0A:EB:22:0A:E6 
00:0A:EB:22:0A:E6 00:02:3F:00:F1:B1 


ARP 协议 的 头 信息 如 表 4-3 所 示 ， 其 中 包括 如 下 信息 。 

@ 硬件 类 型 字段 表示 硬件 地 址 的 类 型 ， 它 的 值 为 1 即 表 示 以 太 网 地 址 。 

@ 协议 类 型 字段 表示 要 映射 的 协议 地 址 类 型 。 它 的 值 为 0800 即 表示 卫 地 址 。 它 的 值 
与 包含 卫 数据 报 的 以 太 网 数据 帧 中 的 类 型 字段 的 值 相 同 。 

@ 硬件 地 址 长 度 和 协议 地 址 长 度 分 别 指出 硬件 地 址 和 协议 地 址 的 长 度 ， 以 字 节 为 单 
位 。 对 于 以 太 网 上 IP 地 址 的 ARP 请 求 或 应 答 来 说 ， 它 们 的 值 分 别 为 6 和 4。 

@ Op 即 操作 〈Opoperation) ，1 是 ARP 请 求 、2 是 ARP 应 答 、3 是 RARP 请 求 和 4 
为 RARP 应 答 ， 第 2 行 中 该 字段 值 为 2 表示 应 答 。 

@ 发 送 端的 硬件 地 址 、 发 送 端的 下 地址 、 目 的 端的 硬件 地 址 和 目的 端 瑟 地址 。 


提示 : 在 以 太 网 的 数据 帧 报头 中 和 ARP 请 求 数据 帧 中 都 有 发 送 端的 硬件 地 址 。 对 于 一 


个 ARP 请 求 来 说 ， 除 目的 端 硬件 地 址 外 的 所 有 其 他 的 字段 都 有 填充 值 。 


第 2 行为 应 答 ， 当 系统 收 到 一 份 目的 端 为 本 机 的 ARP 请 求 报 文 后 ， 它 就 把 硬件 地 址 填 
进去 ,然后 用 目的 端 亿 地址 和 Mac 地 址 分 别 蔡 换 源 瑟 地 址 和 Mac 地址 ， 并 把 操作 字段 置 
为 2， 最 后 把 它 发 送 回 去 。 
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表 4-3 ARP 帧 头 信息 


行 醒 件 类 | 协议 类 | 硬件 地 址 协议 地 址 |op (2) 上 源 Mac (6) 源 下 地 址 目的 Mac (6) 目的 耳 (4) 
型 (2)| 型 (2) 长 度 (1) 长 度 (1) (4) 


1 ooo bs 00 0 0 000AEB220AE6 |C0A80102 |000000000000 |COA801A6 
2 boo! losoo le bs hboos looozsrooriB1 0A801A6 I|000AEB220AEGIC0A80102 


2. 建立 连接 
(1) 显示 数据 包 
建立 连接 的 过 程 是 通过 三 个 步骤 来 完成 的 ， 就 是 从 第 五 个 到 第 七 个 数据 包 ， 如 图 4-18 


所 示 。 


盖 - 固 -8 的 忆 人 JD 风光 国名 .| 及 8 可 


图 4-18 ”建立 连接 数据 包 

(2) 解释 数据 包 

这 三 行 数据 是 两 机 建立 连接 的 过 程 。 

这 三 行 的 核心 意思 就 是 TCP 协议 的 三 次 握手 。TCP 的 数据 包 是 靠 IP 协议 来 传输 的 。 
但 卫 协议 是 只 管 把 数据 送出 去 ， 但 不 能 保证 卫 数据 报 能 成 功 地 到 达 目 的 地 ， 保 证 数据 的 
可 靠 传输 是 靠 TCP 协议 来 完成 的 。 当 接收 端 收 到 来 自发 送 端的 信息 时 ， 接 受 端详 细 发 送 一 
条 应 答 信 息 ， 意 思 是 : “我 已 收 到 你 的 信息 了 。” 第 三 组 数据 将 能 看 到 这 个 过 程 。TCP 是 
一 个 面向 连接 的 协议 。 无 论 哪 一 方向 另 一 方 发 送 数 据 之 前 ， 都 必须 先 在 双方 之 间 建 立 一 条 
连接 。 建 立 连 接 的 过 程 就 是 三 次 握手 的 过 程 。 

这 个 过 程 就 像 我 找 张 三 向 他 借 几 本 书 ， 第 一 步 : 我 说 “你 好 ， 我 是 李 四 ”， 第 二 步 : 
张 三 说 “你 好 ， 我 是 张 三 ”， 第 三 步 : 我 说 “我 找 你 借 几 本 书 ”， 这 样 通过 问答 就 确认 对 
方 身份 ， 建 立 了 联系 。 

下 面 来 分 析 一 下 此 例 的 三 次 握手 过 程 。 

1) 客户 机 发 送 一 个 初始 序号 (SEQ) 为 2605858794 的 数据 包 给 服务 器 。 

2) 服务 器 收 到 这 个 序号 后 ， 将 此 序号 加 1 值 为 2605858795 作为 应 答 信号 (ACK) ， 
同时 随机 产生 一 个 初始 序号 (SEQ) 1341443022， 这 两 个 信号 同时 发 回 到 客户 机 ， 意 思 为 : 
“消息 已 收 到 ， 让 我 们 的 数据 流 以 1341443022 这 个 数 开始 。” 

3) 客户 机 收 到 后 将 确认 序号 设置 为 服务 器 的 初始 序号 〈SEQ) 1341443022 加 1 为 
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1341443033 作为 应 答 信号 。 

以 上 三 步 完 成 了 三 次 握手 ， 双 方 建立 了 一 条 通道 ， 接 下 来 就 可 以 进行 数据 传输 了 。 

(3) 头 信息 分 析 

分 析 TCP 头 信息 就 可 以 看 出 ， 在 握手 过 程 中 TCP 头 部 的 相关 字段 也 发 生 了 变化 。 如 
图 4-19 所 示 ， 第 5 数据 包 包含 了 三 部 分 信息 : 以 太 网 (Ethemet) 、 卫 和 TCP。 

头 信息 少 了 ARP 多 了 了 PP、TCP， 下 面 的 过 程 也 没有 ARP 的 参与 ， 可 以 这 样 理解 ， 在 
局 域 网 内 ，ARP 负责 的 是 在 众多 联网 的 计算 机 中 找到 要 找 的 计算 机 ， 找 到 工作 就 完成 了 。 

以 太 网 的 头 信息 与 第 3、4 行 不 同 的 是 帧 类 型 为 08 00， 指 明 该 帧 类 型 为 卫 。 


Er 
Ws 
py 


图 4-19 耳 包 头 信息 
了 PP 协议 是 TCP/IP 协议 徐 中 最 为 核心 的 协议 。 所 有 的 TCP、UDP、ICMP 及 IGMP 数据 
都 以 IP 数据 报 格式 传输 的 ， 需 要 特别 指出 的 是 卫 提供 不 可 靠 、 无 连接 的 数据 报 传送 ， 也 
就 是 说 IP 仅 提 供 最 好 的 传输 服务 但 不 保证 卫 数据 报 能 成 功 地 到 达 目 的 地 。 保 证 数据 正确 
到 达 目 的 地 是 TCP 的 工作 。 卫 协议 头 信息 如 图 4-20 所 示 。 


4-20 ”IP 协议 包头 
卫 协议 包头 信息 各 个 字段 的 说 明 如 下 。 


提示 : 在 包头 信息 中 , 各 个 字段 的 信息 全 部 用 十 六 进 制 数 表示 , 一 个 数 占 4 个 二 进 制 位 ， 
如 4 的 二 进 制 表示 为 0100。 


e@ 4 位 版 本 

表示 目前 的 协议 版 本 号 ， 数 值 是 4 表示 版 本 为 4， 因 此 卫 有 时 也 称 作 IPv4。 

e 4 位 首部 长 度 

头 部 的 是 长 度 ， 它 的 单位 是 32 位 (4 字 节 )， 数 值 为 5 表示 他 头 部 长 度 为 20 字 节 。 
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@ 8 位 服务 类 型 (TOS) 

这 个 8 位 字段 由 3 位 的 优先 权 子 字段 ,现在 已 经 被 忽略 ,4 位 的 TOS 子 字段 以 及 1 位 
的 未 用 字段 (现在 为 0) 构成 。4 位 的 TOS 子 字段 包含 最 小 延 时 、 最 大 吞吐 量 、 最 高 可 靠 
性 以 及 最 小 费用 ， 这 四 个 1 位 最 多 只 能 有 一 个 为 1， 本 例 中 都 为 0， 表 示 是 一 般 服务 。 

@ 16 位 总 长 度 

总 长 度 字段 是 指 整个 IP 数据 报 的 长 度 ， 以 字 节 为 单位 。 数 值 为 00 30， 换 算 成 十 进 制 
为 48 字 节 , 48 字 节 =20 字 节 的 耳 头 +28 字 节 的 TCP 头 , 这 个 数据 报 只 是 传送 的 控制 信息 ， 
还 没有 传送 真正 的 数据 ， 所 以 目前 看 到 的 总 长 度 就 是 报头 的 长 度 。 

e@ 16 位 标识 

标识 字段 唯一 地 标识 主机 发 送 的 每 一 份 数据 报 。 通 常 每 发 送 一 份 报 文 它 的 值 就 会 加 1， 
第 5 行为 数值 为 9A 66， 第 7 行为 9A 67， 第 9 行为 9A 68。 分 片 时 涉及 到 标志 字段 和 片 偏 
移 字段 ， 本 文 不 讨论 这 两 个 字段 。 

e@ 8 位 生存 时 间 (TTL) 

TTL (time-to-live) 生存 时 间 字 段 设置 了 数据 报 可 以 经 过 的 最 多 路 由 器 数 。 它 指定 了 数 
据 报 的 生存 时 间 。TTL 的 初始 值 由 源 主 机 设置 ， 一 旦 经 过 一 个 处 理 它 的 路 由 器 ， 它 的 值 就 
减 去 1。 可 根据 TTL 值 判断 服务 器 是 什么 系统 和 经 过 的 路 由 器 。 本 例 为 80， 换 算 成 十 进 制 
为 128，Windows 操作 系统 TTL 初始 值 一般 为 128，UNIX 操作 系统 初始 值 为 255， 本 例 表 
示 两 个 机 器 在 同一 网 段 且 操 作 系 统 为 Windows。 

@ 8 位 协议 

表示 协议 类 型 ，8 表示 传输 层 是 TCP 协议 。 

e@ 16 位 首部 检验 和 
当 收 到 一 份 他 数据 报 后 ， 同 样 对 首部 中 每 个 16 位 进行 二 进 制 反 码 的 求 和 。 由 于 接收 
方 在 计算 过 程 中 包含 了 发 送 方 存在 首部 中 的 检验 和 ， 因 此 ， 如 果 首 部 在 传输 过 程 中 没有 发 
生 任 何 差 错 ， 那 么 接收 方 计算 的 结果 应 该 为 全 1。 如 果 结 果 不 是 全 1， 即 检验 和 错误 ， 那 么 
卫 就 丢弃 收 到 的 数据 报 。 但 是 不 生成 差错 报 文 ， 由 上 层 去 发 现 丢 失 的 数据 报 并 进行 重 传 。 

@ 32 位 源 卫 地 址 和 32 位 目的 卫 地 址 

32 位 的 卫 地址 由 一 个 网 络 ID 和 一 个 主机 ID 组 成 。 本 例 源 卫 地 址 为 CO Ag 0102, 转 
换 为 十 进 制 为 192.168.1.2; 目的 卫 地 址 为 CO A8 01 A6， 转 换 为 十 进 制 为 192.168.1.166。 
网 络 地 址 为 192.168.1， 主 机 地 址 分 别 为 2 和 166， 它 们 的 网 络 地 址 是 相同 的 ， 所 以 在 一 个 
网 段 内 ， 这 样 数据 在 传送 过 程 中 可 直接 到 达 。 

TCP 协议 头 信息 如 图 4-21 所 示 。 


16 位 源 端 口号 16 位 目的 端口 号 
32 位 序号 
32 位 确认 序号 20 
V|AlzFzlglslz 字 
ke 保留 8 位 ) nlc|ls|ls|lrlr 18 位 窗口 大 小 节 
长 度 
olrln|lrlrls 
16 位 检验 和 16 位 紧急 指针 
选项 
数据 


图 4-21 TCP 协议 包头 
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第 5 行 TCP 的 头 信息 是 : 07 05 00 15 9B 52 3F EA 00 00 00 00 70 02 40 00 DC CF 00 00 
02 04 05 B4 01 01 04 02。 

@ 端口 号 

端口 就 像 通道 两 端的 门 一 样 ， 当 计算 机 之 间 进 行 通信 时 两 端的 门 必须 是 打开 的 。 源 端 
口 和 目的 端口 各 占 16 位 , 2 的 16 次 方 等 于 65536, 这 就 是 每 台电 脑 与 其 他 电脑 联系 所 能 开 
的 “ 门 ”。 一 般 作 为 服务 一 方 每 项 服务 的 端口 号 是 固定 的 。 本 例 目的 端口 号 为 00 15， 换算 
成 十 进 制 为 21， 这 正 是 FTP 的 默认 端口 ， 需 要 指出 的 是 这 是 FTP 的 控制 端口 ， 数 据 传送 
时 用 另 一 端口 ， 第 三 组 的 分 析 能 看 到 这 一 点 。 客 户 端 与 服务 器 联系 时 随机 开 一 个 大 于 1024 
的 端口 ， 本 例 为 07 05， 换 算 成 十 进 制 为 1797。 

@ 32 位 序号 

也 称 为 顺序 号 〈Sequence Number) ， 简 写 为 SEQ， 从 上 面 三 次 握手 的 分 析 可 以 看 出 ， 
当 一 方 要 与 另 一 方 联系 时 就 发 送 一 个 初始 序号 给 对 方 ， 意 思 是 : “让 我 们 建立 联系 吧 ? ” 
服务 方 收 到 后 要 发 个 独立 的 序号 给 发 送 方 ， 意 思 是 “消息 收 到 ， 数 据 流 将 以 这 个 数 开始 。” 
由 此 可 看 出 ，TCP 连接 完全 是 双向 的 ， 即 双方 的 数据 流 可 同时 传输 。 在 传输 过 程 中 双方 数 
据 是 独立 的 ， 因 此 每 个 TCP 连接 必须 有 两 个 顺序 号 分 别 对 应 不 同方 向 的 数据 流 。 

@ 32 位 确认 序号 

也 称 为 应 答 号 (Acknowledgment Number) ， 简 写 为 ACK。 在 握手 阶段 ， 确 认 序号 将 
发 送 方 的 序号 加 1 作为 回答 ， 在 数据 传输 阶段 ， 确 认 序号 将 发 送 方 的 序号 加 发 送 的 数据 大 
小 作为 回答 ， 表 示 确 实 收 到 这 些 数据 。 在 第 三 组 的 分 析 中 将 看 到 这 一 过 程 。 

@ 4 位 首部 长 度 

这 个 字段 占 4 位 ， 每 个 数值 代表 32 位 (4 字 节 ) 。 本 例 值 为 7，TCP 的 头 长 度 为 28 
字 节 ， 等 于 正常 的 长 度 20 字 节 加 上 可 选项 8 字 节 。TCP 的 头 长 度 最 长 可 为 60 字 节 (二 进 
制 1111 换算 为 十 进 制 为 1 3，15*#4 字 节 =60 字 节 ) 。 

e@ 6 个 标志 位 

URG 紧急 指针 ， 告 诉 接收 TCP 模块 紧要 指针 域 指 着 紧要 数据 。 

ACK 置 1 时 表示 确认 号 ， 为 0 的 时 候 表 示 数 据 段 不 包含 确认 信息 ， 确 认 号 被 忽略 。 

PSH 置 1 时 请 求 的 数据 段 在 接收 方 得 到 后 就 可 直接 送 到 应 用 程序 ， 而 不 必 等 到 缓冲 区 
满 时 才 传 送 。 

RST 置 1 时 重建 连接 。 如 果 接 收 到 RST 位 时 候 ， 通 常 发 生 了 某 些 错误 。 

SYN 置 1 时 用 来 发 起 一 个 连接 。 

FIN 置 1 时 表示 发 送 端 完 成 发 送 任 务 。 用 来 释放 连接 , 表明 发 送 方 已 经 没有 数据 发 送 了 。 

e@ 16 位 窗口 大 小 

TCP 的 流量 控制 由 连接 的 每 一 端 通过 声明 的 窗口 大 小 来 提供 。 窗 口 大 小 为 字 节 数 ， 起 
台 于 确认 序号 字段 指明 的 值 ,这 个 值 是 接收 端正 期 望 接收 的 字 节 。 窗口 大 小 是 一 个 16 字 节 
字段 ， 因 而 窗口 大 小 最 大 为 65535 字 节 。 

@ 16 位 检验 和 

检验 和 覆 间 了 整个 的 TCP 报 文 段 : TCP 首部 和 TCP 数据 。 这 是 一 个 强制 性 的 字段 ， 
一 定 是 由 发 送 端 计算 和 存储 ， 并 由 接收 端 进行 验证 。 


第 4 章 防火 墙 技术 87 


e@ 16 位 紧急 指针 

只 有 当 URG 标志 置 1 时 紧急 指针 才 有 效 。 紧急 指针 是 一 个 正 的 偏 移 量 , 和 序号 字段 中 
的 值 相 加 表示 紧急 数据 最 后 一 个 字 节 的 序号 。 

@ 选项 

最 常见 的 可 选 字段 是 最 长 报 文大 小 ， 又 称 为 MSS (Maximum Segment Size)。 每 个 连接 
方 通常 都 在 握手 的 第 一 步 中 指明 这 个 选项 。 它 指明 本 端 所 能 接收 的 最 大 长 度 的 报 文 段 。 

3. 数据 传输 

(1) 显示 数据 包 

84-87 行 表示 了 一 个 数据 传输 的 过 程 ， 如 图 4-22 所 示 ， 这 四 行 数 据 是 数据 传输 过 程 中 
一 个 发 送 一 个 接收 的 过 程 。 


图 4-22 数据 传输 过 程 


(2) 解释 数据 包 

TCP 提供 一 种 面向 连接 的 、 可 靠 的 字 节 流 服 务 。 当 接收 端 收 到 来 自发 送 端的 信息 时 ， 
接收 端 要 发 送 一 条 应 答 信息 ， 表 示 收 到 此 信息 。 数 据 传 送 时 被 TCP 分 割 成 认为 最 适合 发 送 
的 数据 块 。 一 般 以 太 网 在 传送 时 TCP 将 数据 分 为 1460 字 节 。 也 就 是 说 数据 在 发 送 方 被 分 
成 一 块 一 块 地 发 送 ， 接 收 端 收 到 这 些 数 据 后 再 将 它们 组 合 在 一 起 。 

84 行 显示 服务 器 给 客户 机 发 送 了 大 小 为 1514 字 节 大 小 的 数据 ， 注 意 我 们 前 文 讲 过 数 
据 发 送 时 是 层 层 加 协议 头 的 ，1514 字 节 =14 字 节 以 太 网 头 + 20 字 节 下 头 + 20 字 节 TCP 
头 + 1460 字 节 数据 。 

85 行 显示 的 应 答 信号 ACK 为 1689143620, 这 个 数 是 84 行 的 SEQ 序号 1689142160 加 
上 传送 的 数据 1460， 客 户 机 将 这 个 应 答 信号 发 给 服务 器 说 明 已 收 到 发 来 的 数据 。 

86、87 行 显示 的 是 继续 传送 数据 的 过 程 。 

4. 终止 连接 

(1) 显示 数据 包 

48-51 行 的 数据 表示 TCP 连接 的 终止 过 程 ， 如 图 4-23 所 示 。 
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图 4-23 终止 连接 数据 包 


(2) 解释 数据 包 

建立 一 个 连接 需要 三 次 握手 ， 而 终止 一 个 连接 要 经 过 4 次 握手 。 这 是 因为 一 个 TCP 连 
接 是 全 双 工 〈 即 数据 在 两 个 方向 上 能 同时 传递 ) ， 每 个 方向 必须 单独 地 进行 关闭 。4 次 握 
手 实际 上 就 是 双方 单独 关闭 的 过 程 。 

文件 下 载 完 后 , 关闭 浏览 器 终止 了 与 服务 器 的 连接 , 48-51 行 显示 的 就 是 终止 连接 所 经 
过 4 次 握手 过 程 。 

48 行 数 据 显示 的 是 关闭 浏览 器 后 ， 客 户 机 将 FIN 置 1 连同 序号 (SEQ)259419515 发 给 
服务 器 请 求 终止 连接 。 

49 行 数 据 显示 服务 器 收 到 FIN 关闭 请 求 后 ， 发 回 一 个 确认 ， 并 将 应 答 信号 设置 为 收 到 
序号 加 1， 这 样 就 终止 了 这 个 方向 的 传输 。 

50 行 数据 显示 服务 器 将 FIN 置 1 连同 序号 (SEQ)1056717564 发 给 客户 机 请 求 终止 连接 。 

51 行 数据 显示 客户 机 收 到 FIN 关闭 请 求 后 ， 发 回 一 个 确认 ， 并 将 应 答 信号 设置 为 收 到 
序号 加 1， 至 此 TCP 连接 彻底 关闭 。 


4.3 包 过 滤 防 火 墙 


数据 包 过 滤 技 术 是 在 网 络 层 对 数据 包 进 行 选 择 , 选择 的 依据 是 系统 内 设置 的 过 滤 逻 辑 ， 
被 称 为 访问 控制 表 。 通过 检查 数据 流 中 每 个 数据 包 的 源 地 址 、 目的 地 址 、 所 用 的 端口 号 、 协 
议 状态 等 因素 ， 或 它们 的 组 合 来 确定 是 否 允 许 该 数据 包 通 过 。 包 过 滤 防 火 墙 就 是 采用 包 过 
滤 技 术 来 实现 的 防火 墙 ， 下 面 对 其 相关 知识 进行 介绍 。 
4.3.1 包 过滤 防 火 墙 的 一 般 概念 

1. 包 过 滤 防 火 墙 定义 

包 过 滤 防 火 墙 是 用 一 个 软件 查看 所 流 经 的 数据 包 的 包头 , 由 此 决定 整个 数据 包 的 命运 。 
它 可 能 会 决定 丢弃 这 个 数据 包 ， 可 能 会 接受 这 个 数据 包 《〈 让 这 个 数据 包 通过 ) ， 也 可 能 
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行 其 他 更 复杂 的 动作 。 

在 Linux 系统 下 , 包 过 滤 功 能 是 内 建 于 核心 的 (作为 一 个 核心 模块 , 或 者 直接 内 建 ) ， 
同时 还 有 一 些 可 以 运用 于 数据 包 之 上 的 技巧 ， 不 过 最 常用 的 依然 是 查看 包头 以 决定 包 的 
命运 。 

2. 包 过 滤 防 火 墙 的 工作 层次 

包 过 滤 是 一 种 内 置 于 Linux 内 核 路 由 功能 之 上 的 防火 墙 类 型 , 其 防火 墙 工 作 在 网 络 层 。 


4.3.2 包 过 滤 防 火 墙 的 工作 原理 


(1) 使 用 过 滤器 。 数 据 包 过 滤 用 在 内 部 主机 和 外 部 主机 之 间 ， 过 滤 系 统 是 一 台 路 由 器 
或 是 一 台 主 机 。 过 滤 系 统 根据 过 滤 规 则 来 决定 是 否 让 数据 包 通 过 。 用 于 过 滤 数据 包 的 路 由 
器 被 称 为 过 滤 路 由 器 。 

数据 包 过 滤 是 通过 对 数据 包 的 耳 头 和 TCP 头 或 UDP 头 的 检查 来 实现 的 ,主要 信息 有 : 

e@ IP 源 地 址 

e@ IJIP 目标 地 址 

@ 协议 (TCP 包 、UDP 包 和 ICMP 包 ) 

e@ ”TCP 或 UDP 包 的 源 端 口 

e@ TCP 或 UDP 包 的 目标 端口 

@ ICMP 消息 类 型 

@ TCP 包头 中 的 ACK 位 

@ 数据 包 到 达 的 端口 

@ 数据 包 出 去 的 端口 

在 TCP/IP 中 ， 存 在 着 一 些 标准 的 服务 端口 号 ， 例 如 ，HTTP 的 端口 号 为 80。 通 过 屏蔽 
特定 的 端口 可 以 禁止 特定 的 服务 。 包 过 滤 系 统 可 以 阻塞 内 部 主机 和 外 部 主机 或 另外 一 个 网 
络 之 间 的 连接 ， 例 如 ， 可 以 阻塞 一 些 被 视 为 是 有 敌意 的 或 不 可 信 的 主机 或 网 络 连接 到 内 部 
网 络 中 。 

(2) 过 滤器 的 实现 。 数 据 包 过 滤 一 般 使 用 过 滤 路 由 器 来 实现 ， 这 种 路 由 器 与 普通 的 路 
由 器 有 所 不 同 。 

普通 的 路 由 器 只 检查 数据 包 的 目标 地 址 ， 并 选择 一 个 达到 目的 地 址 的 最 佳 路 径 。 它 
处 理 数 据 包 是 以 目标 地 址 为 基础 的 ， 存 在 着 两 种 可 能 性 : 若 路 由 器 可 以 找到 一 个 路 径 到 
达 目 标 地 址 则 发 送出 去 ; 若 路 由 器 不 知道 如 何 发 送 数据 包 则 通知 数据 包 的 发 送 者 “数据 
包 不 可 到 达 ”。 

过 滤 路 由 器 会 更 加 仔细 地 检查 数据 包 ， 除 了 决定 是 否 有 到 达 目 标 地 址 的 路 径 外 ， 还 要 
决定 是 否 应 该 发 送 数据 包 。“ 应 该 与 否 ” 是 由 路 由 器 的 过 滤 策 略 决定 并 强制 执行 的 。 

路 由 器 的 过 滤 策 略 主要 有 : 
拒绝 来 自 某 主机 或 某 网 段 的 所 有 连接 。 
允许 来 自 某 主 机 或 某 网 段 的 所 有 连接 。 
拒绝 来 自 某 主 机 或 某 网 段 的 指定 端口 的 连接 。 
允许 来 自 某 主机 或 某 网 段 的 指定 端口 的 连接 。 
拒绝 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 所 有 连接 。 
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@ 人 允许 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 所 有 连接 。 

e 拒绝 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 指定 端口 的 连接 。 

e@ ”允许 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 指定 端口 的 连接 。 
4.3.3” 包 过 滤器 操作 的 基本 过 程 

下 面 对 包 过 滤器 操作 过 程 做 个 简单 的 叙述 。 

(1) 包 过 滤 规则 必须 被 包 过 滤 设 备 端口 存储 起 来 。 

(2) 当 包 到 达 端 口 时 ， 对 包 报头 进行 语法 分 析 。 大 多 数 包 过 滤 设 备 只 检查 他、TCP、 
或 UDP 报头 中 的 字段 。 

(3) 包 过 滤 规 则 以 特殊 的 方式 存储 。 应 用 于 包 的 规则 的 顺序 与 包 过 滤器 规则 存储 顺序 
必须 相同 。 

(4) 若 一 条 规则 阻止 包 传输 或 接收 ， 则 此 包 便 不 被 允许 。 

(5) 若 一 条 规则 允许 包 传输 或 接收 ， 则 此 包 便 可 以 被 继续 处 理 。 

(6) 若 包 不 满足 任何 一 条 规则 ， 则 此 包 便 被 阻塞 。 
4.3.4 包 过 滤 技 术 的 优 缺 点 

1. 包 过 滤 技 术 的 优点 

(1) 对 于 一 个 小 型 的 、 不 太 复杂 的 站 点 ， 包 过 滤 比 较 容 易 实现 。 

(2) 因为 过 滤 路 由 器 工作 在 下层 和 TCP 层 ， 所 以 处 理 包 的 速度 比 代理 服务 器 快 。 

(3) 过 滤 路 由 器 为 用 户 提供 了 一 种 透明 的 服务 ， 用 户 不 需要 改变 客户 端的 任何 应 
用 程序 ， 也 不 需要 用 户 学 习 任何 新 的 东西 。 因 为 过 滤 路 由 器 工作 在 IP 层 和 TCP 层 ， 而 
IP 层 和 TCP 层 与 应 用 层 的 问题 毫 不 相关 。 所 以 ， 过 滤 路 由 器 有 时 也 被 称 为 “ 包 过 滤 网 
关 ” 或 “透明 网 关 ”， 之 所 以 被 称 为 网 关 ， 是 因为 包 过 滤 路 由 器 和 传统 路 由 器 不 同 ， 它 
涉及 到 了 传输 层 。 

(4) 过 滤 路 由 器 在 价格 上 一 般 比 代理 服务 器 便宜 。 

2. 包 过 滤 技 术 的 缺点 

(1) 一 些 包 过 滤 网 关 不 支持 有 效 的 用 户 认证 。 

(2) 规则 表 很 快 会 变 得 很 大 而 且 复杂 , 规则 很 难 测试 。 随 着 表 的 增 大 和 复杂 性 的 增加 ， 
规则 结构 出 现 漏洞 的 可 能 性 也 会 增加 。 

(3) 这 种 防火 墙 最 大 的 缺陷 是 它 依赖 一 个 单一 的 部 件 来 保护 系统 。 如 果 这 个 部 件 出 现 
了 问题 ， 会 使 得 网 络 大 门 敞开 ， 而 用 户 其 至 可 能 还 不 知道 。 

(4) 在 一 般 情 况 下 ， 如 果 外 部 用 户 被 允许 访问 内 部 主机 ， 则 它 就 可 以 访问 内 部 网 上 的 
任何 主机 。 

(5) 包 过 滤 防 火 墙 只 能 阻止 一 种 类 型 的 卫 欺骗 ， 即 外 部 主机 伪装 内 部 主机 的 卫 ， 对 
于 外 部 主机 伪装 外 部 主机 的 中 欺骗 却 不 可 能 阻止 ， 而 且 它 不 能 防止 DNS 欺骗 。 

虽然 ， 包 过 滤 防 火 墙 有 如 上 所 述 的 缺点 ， 但 是 在 管理 良好 的 小 规模 网 络 上 ， 它 能 够 正 
常 地 发 挥 其 作用 。 一 般 情 况 下 ， 人 们 不 单独 使 用 包 过 滤 网 关 ， 而 是 将 它 和 其 他 设备 〈 如 集 
又 主机 等 ) 联合 使 用 。 
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4.4 代理 防火 墙 


代理 防火 墙 ， 也 称 应 用 层 防火 墙 ， 作 用 于 应 用 层 。 其 核心 是 运行 于 防火 墙 主机 上 的 代 
理 服务 器 进程 , 它 代 蔡 网 络 用 户 完成 特点 的 TCPJP 功能 。 一 个 代理 服务 器 实际 上 是 一 个 为 
特定 网 络 应 用 而 连接 两 个 网 络 的 网 关 ， 对 于 每 一 种 不 同 的 应 用 服务 ， 都 必须 有 一 个 相应 的 
代理 。 外 部 网 络 和 内 部 网 络 之 间 要 建立 连接 ， 必 须 通过 代理 的 中 间 转 换 ， 内 部 网 络 只 接受 
代理 服务 提出 的 服务 请 求 ， 拒 绝 外 部 网 络 的 直接 连接 ， 从 而 达到 保护 内 部 网 络 的 目的 。 


4.4.1 为 什么 要 进行 代理 


如 果 用 户 不 能 访问 Internet， 那 么 与 其 连接 就 没有 意义 。 另 一 方面 ， 若 你 的 系统 中 的 所 
有 主机 都 能 自由 地 访问 Intemet， 则 在 与 Inemet 网 连接 时 将 没有 安全 感 。 对 于 这 种 情况 ， 
现在 已 经 提出 一 些 方案 来 解决 这 个 问题 。 

最 为 有 效 的 办 法 是 为 所 有 的 用 户 提供 一 台 主机 与 因特网 连接 〈 但 这 并 不 是 令 人 满意 的 
方案 )， 因 为 这 些 主机 对 用 户 来 说 是 不 透明 的 ， 那 些 想 访问 因特网 的 用 户 将 无 法 直接 访问 ， 
他 们 不 得 不 在 双重 宿主 主机 上 登录 ， 并 从 那里 访问 因特网 ， 然 后 将 结果 送 回 到 他 们 自己 的 
主机 ， 这 种 多 步 处理 方 法 要 使 用 户 进行 多 次 传送 并 且 离 开 他 们 所 熟悉 的 环境 。 

对 于 一 个 具有 多 操作 系统 的 站 点 来 说 情况 将 更 糟糕 ， 如 果 你 的 本 地 系统 是 Macintosh， 
而 你 的 双重 宿主 主机 是 UNIX 系统 , 而 UNIX 系统 可 能 太 陌生 了 。 这样 你 将 受到 各 种 限制 ， 
因为 UNIX 系统 中 的 工具 与 你 在 自己 的 主机 上 使 用 的 工具 可 能 完全 不 同 。 

没有 配置 代理 系统 的 双重 宿主 主机 对 于 利用 它 来 访问 因特网 的 用 户 来 说 ， 会 大 大 降低 
他 们 所 获得 的 效益 。 另 外 ， 它 一 般 难以 提供 足够 的 安全 机 制 来 保护 系统 ， 特 别 是 对 于 要 与 
外 界 连 接 的 主机 。 

代理 系统 不 会 受到 双重 宿主 主机 不 安全 机 制 的 影响 ， 它 们 通过 与 双重 宿主 主机 的 相互 
作用 来 解决 安全 问题 。 代 理 系统 要 求 用 户 在 后 台 与 双重 宿主 主机 进行 交谈 而 不 能 直接 在 双 
重 宿主 主机 上 进行 。 由 于 用 户 很 少 与 双重 宿主 主机 进行 交谈 ， 所 以 用 户 根本 感觉 不 到 代理 
的 存在 ， 他 们 认为 自己 是 在 直接 访问 因特网 服务 器 。 如 图 4-24 所 示 。 


图 4-24 代理 系统 的 实现 过 程 
代理 系统 通过 避免 用 户 在 双重 宿主 主机 上 登录 和 强迫 通过 控制 软件 连接 来 解决 安全 
问题 。 因 为 代理 软件 的 运行 不 需要 用 户 登 录 到 双重 宿主 主机 ， 它 所 运行 的 主机 由 于 没有 
随意 地 登录 而 得 到 了 安全 。 人 们 无 法 不 安装 控制 软件 而 访问 因特网 ， 代 理 就 是 这 样 一 个 
控制 系统 。 
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4.4.2 代理 服务 的 优 缺 点 


1. 代理 服务 有 两 个 优点 

〈1) 代理 服务 允许 用 户 “直接 ”访问 因特网 

采用 双重 宿主 主机 的 方案 ， 用 户 需要 登录 到 主机 上 才能 访问 因特网 ， 这 样 会 使 用 户 感 
到 很 不 方便 ， 有 些 用 户 就 可 能 寻找 其 他 方法 来 通过 防火 墙 。 而 采用 代理 服务 ， 用 户 会 认为 
他 们 是 直接 访问 因特网 。 

当然 这 需要 在 后 台 运行 一 些 程序 ， 但 这 对 用 户 来 讲 是 透明 的 。 代 理 服 务 系 统 允 许 用 户 
从 他 们 自己 的 系统 访问 因特网 ， 但 不 允许 数据 包 在 用 户 系统 和 因特网 之 间 直 接 传 送 。 传 送 
只 能 是 间接 的 ， 或 通过 双重 宿主 主机 ， 或 通过 一 个 堡垒 主机 和 屏蔽 路 由 器 系统 。 
(2) 代理 服务 适合 于 做 日 志 
因为 代理 服务 懂得 优先 协议 ， 它 们 允许 日 志 服 务 以 一 种 特殊 且 有 效 的 方式 来 进行 。 比 
如 一 个 FTP 代理 服务 器 只 记录 发 出 的 命令 和 服务 器 接收 的 回答 ， 用 这 种 方法 来 代替 记录 所 
有 的 数据 传输 ， 这 样 产生 的 日 志 就 会 小 而 有 用 。 

2. 代理 服务 的 缺点 

代理 服务 也 有 一 些 缺 点 ， 主 要 表现 如 下 。 

(1) 代理 服务 落后 于 非 代理 服务 

尽管 代理 软件 已 广泛 应 用 于 一 些 老 而 旧 的 服务 , 如 Telnet 和 FTP 等 , 但 是 要 找到 一 些 
为 了 某 些 新 而 少 的 服务 使 用 的 可 靠 软件 是 很 困难 的 。 在 一 个 服务 出 现 和 它 的 代理 服务 的 出 
现 之 间 一 般 会 有 一 个 较为 明显 的 延迟 ， 这 个 延迟 时 间 的 长 短 是 依赖 于 为 代理 而 设计 的 服务 
器 的 。 这 使 得 一 个 站 点 在 提供 一 个 新 的 服务 时 无 法 立刻 提供 代理 服务 ， 在 可 以 使 用 代理 服 
务 之 前 ， 该 服务 只 能 不 放 在 防火 墙 内 ， 这 样 一 来 就 有 安全 漏洞 产生 。 

(2) 每 个 代理 服务 要 求 不 同 的 服务 器 

用 户 可 能 需要 为 每 个 协议 配置 不 同 的 代理 服务 器 ， 因 为 代理 服务 器 需要 按照 协议 
来 决定 允许 什么 和 不 允许 什么 ， 并 且 要 扮演 一 个 角色 ， 它 对 真实 服务 器 来 说 是 客户 ， 
对 客户 来 说 是 真实 服务 器 。 因 此 选择 、 安 装 和 配置 这 些 不 同 的 代理 服务 器 是 一 项 复杂 
的 工作 。 

软件 产品 和 软件 包 在 配置 的 难 易 程度 上 是 完全 不 同 的 ， 在 一 个 软件 上 很 容易 做 的 可 
能 在 另 一 个 软件 上 就 非常 难 。 例 如 ， 那 些 特别 容易 配置 的 服务 器 通常 灵活 性 要 差 一 些 ， 它 
们 能 容易 地 配置 是 因为 对 如 何 使 用 它们 作 了 各 种 假定 ， 这 些 假 定 对 于 你 的 站 点 来 说 可 能 是 
合适 的 也 可 能 是 不 合适 的 。 

(3) 代理 服务 一 般 要 求 对 客户 或 程序 进行 修改 

除了 一 些 专门 为 代理 而 设计 的 服务 外 ， 代 理 服务 器 要 求 对 客户 或 程序 进行 修改 ， 每 一 
种 修改 都 有 其 不 足 之 处 ， 人 们 无 法 总 是 用 正常 的 方式 来 进行 工作 。 因 为 这 些 修改 ， 代 理应 
用 就 可 能 没有 非 代理 应 用 运行 得 那样 好 ， 同 时 对 于 协议 的 理解 也 可 能 有 偏差 ， 并 且 一 些 客 
户 程序 和 服务 器 要 比 非 代理 服务 缺乏 灵活 性 。 

(4) 代理 服务 对 某 些 服务 来 说 是 不 合适 的 

代理 服务 能 否 实现 取决 于 能 否 在 客户 和 真实 服务 器 之 间 插 入 代理 服务 器 ， 这 要 求 两 者 
间 的 交谈 有 相对 的 直接 性 。 一 个 像 tak 这 样 复杂 的 交谈 可 能 永远 无 法 进行 代理 。 
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(5) 代理 服务 不 能 保护 你 不 受 协议 本 身 缺 点 的 限制 

作为 一 个 确保 安全 的 方案 ， 代 理 首 先 要 判断 对 协议 中 哪些 操作 是 安全 的 ， 但 并 不 是 所 
有 的 协议 都 能 方便 地 做 到 这 一 点 ， 如 X Window 系统 协议 中 就 存在 许多 不 安全 的 操作 ， 假 
如 禁止 这 些 不 安全 的 操作 系统 就 不 能 正常 地 运行 了 。 


4.4.3 代理 服务 的 工作 方法 


代理 服务 的 工作 细节 对 每 一 种 服务 都 是 不 同 的 ， 一 些 服务 可 以 容易 或 者 自动 地 提供 代 
理 ， 对 于 这 些 服务 你 可 以 通过 对 正常 服务 器 的 配置 来 设置 代理 。 但 对 于 大 多 数 服 务 来 说 ， 
代理 服务 在 服务 器 上 要 求 有 合适 的 代理 服务 器 软件 。 在 客户 端 可 以 有 不 同 的 方法 。 

(1) 定制 客户 软件 。 采 用 这 种 方法 ， 软 件 必 须知 道 当 用 户 提出 请 求 时 怎样 与 代替 真实 
服务 器 的 代理 服务 器 进行 连接 ， 并 且 告 诉 代理 服务 器 如 何 与 真实 服务 器 连接 。 

(2) 定制 客户 过 程 。 采 用 这 种 方法 时 ， 用 户 使 用 标准 的 客户 软件 与 代理 服务 器 连接 ， 
并 通知 代理 服务 器 与 真实 服务 器 连接 ， 以 此 来 代替 与 真实 服务 器 的 连接 。 

1. 使 用 定制 客户 软件 进行 代理 

第 一 个 方法 是 使 用 定制 客户 软件 进行 代理 ， 这 种 方法 存在 一 些 问题 。 定 制 的 客户 软件 
一 般 只 适用 于 特定 的 平台 。 如 果 它 对 你 的 站 点 中 一 个 平台 都 不 适合 的 话 ， 那 么 你 的 用 户 就 
太 不 幸 了 。 

有 时 虽然 定制 客户 软件 适合 你 的 平台 ， 但 它 并 不 是 用 户 所 想 要 的 ， 如 在 Macintosh 上 
有 许多 FTP 客户 程序 ,其 中 有 的 具有 很 好 的 用 户 界 面 ,另外 也 有 些 很 有 用 的 功能 ,如 anarchie 
是 一 个 可 以 将 Archie 客户 与 FTP 客户 合并 成 一 个 程序 的 界面 , 这 样 你 就 可 以 在 一 个 用 户 界 
面 中 利用 Archie 查找 文件 ， 再 用 FTP 进行 文件 下 载 。 如 果 你 想 使 用 的 软件 不 支持 你 的 代 
理 服务 器 ， 那 也 不 行 。 有 时 你 可 以 修改 客户 程序 来 支持 代理 服务 器 ， 但 这 需要 有 客户 程序 
的 源 程序 ， 并 有 重新 编译 能 力 ， 一 般 很 少 有 客户 程序 支持 任何 形式 的 代理 系统 。 

对 于 这 种 情况 的 例外 是 WWW 的 客户 程序 如 Mosaic。 很 多 这 样 的 程序 支持 各 种 类 型 的 
代理 (特别 是 SOCKS 和 CREN HTTP 守护 程序 ) ， 大 多 数 都 是 在 防火 墙 和 代理 系统 普及 之 
后 新 出 现 的 ， 因 此 知道 了 运行 环境 ， 并 且 在 设计 开始 时 就 考虑 了 代理 问题 。 

把 客户 程序 进行 修改 后 用 于 代理 系统 则 不 能 使 代理 做 到 对 用 户 透 明 。 许 多 站 点 在 内 部 
使 用 原先 未 修改 的 客户 程序 ， 而 在 外 部 连接 上 使 用 修改 的 客户 程序 ， 用 户 必 须要 记 住 使 用 
修改 的 客户 程序 来 进行 外 部 连接 。 这 就 往往 使 得 用 户 按照 他 们 已 熟悉 的 步骤 进行 连接 时 ， 
可 能 会 在 内 部 成 功 而 连接 外 部 时 则 失败 。 

此 外 还 要 选择 正确 的 程序 ， 用 户 可 能 会 发 现 自己 要 进行 额外 的 配置 ， 因 为 客户 程序 需 
要 了 解 怎 样 与 代理 服务 器 相连 。 这 虽然 不 是 一 个 复杂 的 工作 ， 但 却 增加 了 出 错 的 机 会 。 

2. 使 用 定制 的 用 户 过 程 进行 代理 

使 用 定制 用 户 过 程 的 方法 , 代理 服务 器 使 用 标准 的 软件 来 工作 ,然而 ,它们 要 求 软件 的 用 
户 遵守 定制 的 过 程 。 用户 通 知客 户 与 代理 服务 器 连接 并 通知 代理 服务 器 与 哪个 主机 相连 接 。 
因为 几乎 没有 一 个 协议 是 设计 成 传递 这 种 信息 的 ， 用 户 不 仅 需要 记 住 代理 服务 器 的 名 字 ， 
而 且 还 要 记 住 通过 其 他 主机 名 字 的 特殊 方式 。 

它 是 如 何 工作 的 ? 你 需要 告诉 自己 的 用 户 每 个 协议 的 具体 步骤 。 如 FTP 协议， 假定 ) 
户 想 从 匿名 FTP 服务 器 (ftp.getfile net) 上 下 载 一 个 文件 ， 则 应 该 : 
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(1) 使 用 一 FTP 客户 与 代理 服务 器 进行 连接 而 不 是 与 匿名 FTP 服务 器 直接 连接 。 

(2) 在 输入 用 户 名 时 ， 除 了 指定 用 户 名 的 同时 ， 还 要 指定 他 想 要 连接 的 真实 的 服务 器 
名 。 例 如 ， 要 连接 匿名 FTP 服务 器 (ftp.getfilenet) ， 那 么 在 代理 服务 器 上 需 输入 
anonymous@ftp.getfilenet， 而 不 应 只 输入 “anonymous”。 

正如 使 用 定制 软件 一 样 ， 要 求 对 用 户 使 用 过 程 进行 定制 ， 使 用 定制 过 程 也 会 对 你 可 使 
用 的 客户 程序 增加 一 些 限 制 。 有 的 客户 试图 自动 执行 匿名 FTP， 但 他 们 不 知道 如 何 经 过 代 
理 服 务 器 。 一 些 客户 可 能 被 简单 的 操作 方式 所 困扰 ， 如 一 个 图 形 界面 的 程序 可 能 无 法 显示 
用 户 输入 的 包括 主机 和 用 户 名 的 信息 。 


4.4.4 代理 服务 器 的 使 用 


代理 服务 器 有 一 些 特殊 类 型 ， 主 要 表现 如 下 。 

1. 应 用 级 与 回路 级 代理 

应 用 级 代理 是 已 知 代理 服务 为 哪个 应 用 提供 的 代理 ， 它 能 了 解 并 解释 应 用 协议 中 的 
命令 ， 而 回路 级 代理 在 客户 端 与 服务 器 之 间 不 解释 应 用 协议 中 的 命令 就 建立 了 连接 回路 。 
大 多 数 应 用 级 代理 的 最 新 版 本 是 一 个 像 sendmail 的 应 用 ， 由 它 来 完成 存储 转发 协议 。 大 
部 分 最 新 回路 级 代理 是 一 个 新 式 的 代理 网 关 ， 这 个 网 关 对 外 像 一 个 代理 ， 对 内 像 一 个 过 
滤 路 由 器 。 

应 用 级 代理 使 用 修改 的 过 程 ， 回 路 级 代理 使 用 修改 的 客户 程序 。 这 与 代理 的 实用 性 有 
关 。 为 了 实现 一 个 代理 连接 ， 你 必须 知道 连接 的 方向 。 一 个 混合 网 关 可 以 很 容易 地 阻止 连 
接 ， 但 一 个 代理 主机 内 能 接收 连接 ， 并 从 得 到 的 信息 中 判断 它 要 往 哪里 继续 进行 连接 。 一 
个 回路 级 代理 不 能 解释 应 用 协议 ， 需 要 通过 其 他 方式 给 它 提供 信息 。 因 为 客户 程序 的 能 
是 很 有 效 的 ， 应 用 级 代理 通常 是 为 了 利用 它们 了 解 应 用 协议 的 优点 ， 因 此 它们 能 使 用 修改 
的 过 程 。 而 回路 级 代理 ， 通 常 无 法 使 用 修改 的 过 程 ， 只 能 使 用 修改 的 客户 程序 。 

尽管 还 没有 修改 的 应 用 级 代理 , 但 确实 存在 着 修改 的 回路 级 代理 , 如 plug gw 就 是 一 
个 修改 的 过 程 并 且 是 一 个 回路 级 代理 。 它 连接 的 目标 地 址 完全 取决 于 源 地 址 和 与 之 连接 的 
源 及 目标 端口 。 

一 个 回路 级 代理 的 优点 在 于 它 能 够 为 各 种 不 同 的 协议 提供 服务 。 大 多 数 回 路 级 代理 服 
务 器 也 是 公共 代理 服务 器 ， 它 们 几乎 对 于 任何 协议 都 支持 ， 但 不 是 每 个 协议 都 能 由 回路 级 
代理 轻易 实现 的 ， 如 FTP 协议 就 是 这 样 。 它 要 求 从 客户 端的 数据 端口 连接 到 服务 器 上 ， 并 
要 求 作 协议 级 的 调整 和 应 用 级 的 知识 。 回 路 级 代理 的 缺点 在 于 它 对 因 代 理 而 产生 的 事件 几 
平 无 法 控制 ， 像 包 过 滤 一 样 ， 它 为 源 地 址 和 目的 地 址 提供 连接 ， 但 是 不 能 判断 出 经 过 它 的 
命令 是 否 安全 或 超出 了 协议 的 范围 。 回 路 级 代理 会 很 容易 地 被 服务 器 设置 的 、 分 给 其 他 服 
务 器 的 端口 号 所 蒙骗 。 

2. 公共 与 专用 代理 服务 器 

虽然 “应 用 级 ”和 “回路 级 ”是 常用 的 术语 ， 但 是 我 们 更 加 注重 “公共 ”和 “专用 ” 
代理 服务 器 的 区 别 。 一 个 专用 代理 服务 器 只 适用 于 单个 协议 ， 而 一 个 公共 代理 服务 器 则 适 
用 多 个 协议 。 实 际 上 专用 代理 服务 器 是 应 用 级 的 ， 而 公共 代理 服务 器 是 属于 回路 级 的 。 由 
于 存在 一 个 了 解 许多 协议 的 公共 的 应 用 级 代理 服务 器 , 或 一 个 专用 的 回路 级 代理 服务 器 (只 
提供 一 个 服务 ， 但 了 解 多 个 协议 ) ， 因 此 采用 “专用 ”和 “公共 ”这 两 个 术语 要 比 “ 应 用 
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级 ”和 “回路 级 ”好 理解 一 些 。 

3. 智能 代理 服务 器 

如 果 一 个 代理 服务 器 不 光 是 转发 请 求 ， 同 时 还 能 够 做 其 他 许多 事情 的 话 ， 这 样 的 代理 
服务 器 就 称 为 智能 代理 服务 器 ， 如 CERN HTTP 代理 服务 器 还 能 够 将 数据 保存 在 缓存 中 ， 
以 便 同 样 的 数据 可 以 不 必 再 从 因特网 上 下 载 了 。 代 理 服务 器 〈 特 别 是 应 用 级 代理 服务 器 ) 
可 以 比 其 他 方式 提供 更 好 的 日 志和 访问 控制 功能 。 代 理 服 务 器 的 功能 在 不 断 迅速 地 发 展 ， 
现在 已 有 许多 代理 服务 器 除了 提供 基本 功能 外 ， 还 在 不 断 增 加 新 的 功能 。 对 于 一 个 专用 的 
应 用 级 代理 来 说 很 容易 升级 到 智能 代理 服务 器 ， 但 对 一 个 回路 级 的 代理 来 说 则 较为 困难 。 


4.5 ”防火 墙 技术 的 发 展 趋势 


随 着 新 的 网 络 攻击 的 出 现 ， 防 火 墙 技术 也 有 一 些 新 的 发 展 趋势 。 这 主要 可 以 从 包 过 滤 
技术 、 防 火 墙 体系 结构 和 防火 墙 系统 管理 三 方面 来 体现 。 


4.5.1 防火 墙 包 过 滤 技 术 发 展 趋势 


(1) 引入 身份 认证 

一 些 防 火 墙 厂商 把 在 AAA 系统 上 运用 的 用 户 认证 及 其 服务 扩展 到 防火 墙 中 ， 使 其 拥 
有 可 以 支持 基于 用 户 角色 的 安全 策略 功能 。 该 功能 在 无 线 网 络 应 用 中 非常 必要 。 具 有 用 户 
身份 验证 的 防火 墙 通常 是 采用 应 用 级 网 关 技术 的 ， 包 过 滤 技 术 的 防火 墙 不 具有 。 用 户 身份 
验证 功能 越 强 ， 它 的 安全 级 别 越 高 ， 但 它 给 网 络 通信 带 来 的 负面 影响 也 越 大 ， 因 为 用 户 身 
份 验证 需要 时 间 ， 特 别 是 加 密 型 的 用 户 身份 验证 。 

(2) 多 级 过 滤 技术 

所 谓 多 级 过 滤 技 术 , 是 指 防 火 墙 采用 多 级 过 滤 措 施 , 并 辅 以 鉴别 手段 。 在 分 组 过 滤 (网 
络 层 ) 一 级 , 过 滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 人 P 源 地 址 ; 在 传输 层 一 级 ,遵循 过 滤 规 则 ， 
过 滤 掉 所 有 禁止 出 或 /和 入 的 协议 和 有 害 数据 包 如 nuke 包 、 圣 诞 树 包 等 ， 在 应 用 网 关 〔 应 
用 层 ) 一 级 ， 能 利用 FTP、SMTP 等 各 种 网 关 ， 控 制 和 监测 Internet 提供 的 所 用 通用 服务 。 
这 是 针对 以 上 各 种 已 有 防火 墙 技术 的 不 足 而 产生 的 一 种 综合 型 过 滤 技 术 ， 它 可 以 弥补 以 上 
各 种 单独 过 滤 技 术 的 不 足 。 

这 种 过 滤 技 术 在 分 层 上 非常 清楚 ， 每 种 过 滤 技 术 对 应 于 不 同 的 网 络 层 ， 从 这 个 概念 出 
发 ， 又 有 很 多 内 容 可 以 扩展 ， 为 将 来 的 防火 墙 技术 发 展 打下 基础 。 

(3) 使 防火 墙 具 有 病毒 防护 功能 。 现 在 通常 被 称 之 为 “病毒 防火 墙 ”， 当 然 目前 主要 
还 是 在 个 人 防火 墙 中 体现 ， 因 为 它 是 纯 软 件 形 式 ， 更 容易 实现 。 这 种 防火 墙 技 术 可 以 有 效 
地 防止 病毒 在 网 络 中 的 传播 ， 比 等 待 攻击 的 发 生 更 加 积极 。 拥 有 病毒 防护 功能 的 防火 墙 可 
以 大 大 减少 公司 的 损失 。 


4.5.2 ”防火 墙 的 体系 结构 发 展 趋势 


随 着 网 络 应 用 的 增加 ， 对 网 络 带宽 提出 了 更 高 的 要 求 。 这 意味 着 防火 墙 要 能 够 以 非常 
高 的 速率 处 理 数据 。 另 外 ， 在 以 后 几 年 里 ， 多 媒体 应 用 将 会 越 来 越 普遍 ， 它 要 求 数据 穿 过 
防火 墙 所 带 来 的 延迟 要 足够 小 。 为 了 满足 这 种 需要 ， 一 些 防 火 墙 制造 商 开 发 了 基于 ASIC 
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的 防火 墙 和 基于 网 络 处 理 器 的 防火 墙 。 从 执行 速度 的 角度 看 来 ， 基 于 网 络 处 理 器 的 防火 墙 
也 是 基于 软件 的 解决 方案 ， 它 需要 在 很 大 程度 上 依赖 于 软件 的 性 能 ， 但 是 由 于 这 类 防火 墙 
中 有 一 些 专门 用 于 处 理 数据 层面 任务 的 引擎 ， 从 而 减轻 了 CPU 的 负担 , 该 类 防火 墙 的 性 能 
要 比 传统 防火 墙 的 性 能 好 许多 。 

与 基于 ASIC 的 纯 硬 件 防 火 墙 相 比 ， 基 于 网 络 处 理 器 的 防火 墙 具 有 软件 色彩 ， 因 而 更 
加 具有 灵活 性 。 基 于 ASIC 的 防火 墙 使 用 专门 的 硬件 处 理 网 络 数据 流 ， 比 起 前 两 种 类 型 的 
防火 墙 具 有 更 好 的 性 能 。 但 是 纯 硬 件 的 ASIC 防火 墙 缺乏 可 编程 性 ， 这 就 使 得 它 缺 乏 灵活 
性 ， 从 而 跟 不 上 防火 墙 功 能 的 快速 发 展 。 理 想 的 解决 方案 是 增加 ASIC 芯片 的 可 编程 性 ， 
使 其 与 软件 更 好 地 配合 。 这 样 的 防火 墙 就 可 以 同时 满足 来 自 灵活 性 能 和 运行 性 能 的 要 求 。 

首 信 CF-2000 系列 EP-600 和 CG-600 高端 干 兆 防火 墙 即 采 用 了 功能 强大 的 可 编程 专 有 
ASIC 芯片 作为 专门 的 安全 引擎 ,很 好 地 兼顾 了 灵活 性 能 的 需要 。 它们 可 以 以 线 速 处 理 网 络 
流量 , 而 且 其 性 能 不 受 连接 数目 、 包 大 小 以 及 采用 何 种 策略 的 影响 。 该 款 防火 墙 支持 QoS， 
所 造成 的 延迟 可 以 达到 微 秒 量 级 ， 可 以 满足 各 种 交互 式 多 媒体 应 用 的 要 求 。 浙 大 网 新 也 在 
杭州 正式 发 布 三 款 基 于 ASIC 芯片 的 网 新 易 尚 千 兆 系列 网 关 防 火 墙 , 据 称 ， 其 ES4000 防火 
墙 速度 达到 4Gbps，3DES 速度 可 达 600Mbps。 易 尚 系列 千 兆 防火 墙 还 采用 了 最 新 的 安全 网 
关 概 念 ,集成 了 防火 墙 、VPN、IDS、 防 病毒 、 内 容 过 滤 和 流量 控制 等 多 项 功能 。 


4.5.3 防火墙 的 系统 管理 发 展 趋势 


防火 墙 的 系统 管理 也 有 一 些 发 展 趋势 ， 主 要 体现 在 以 下 几 个 方面 。 

(1) 首先 是 集中 式 管理 ,分 布 式 和 分 层 的 安全 结构 是 将 来 的 趋势 。 集 中式 管 理 可 以 降 
低 管理 成 本 ， 并 保证 在 大 型 网 络 中 安全 策略 的 一 致 性 。 快 速 响 应 和 快速 防御 也 要 求 采 用 集 
中 式 管 理 系统 。 目 前 这 种 分 布 式 防火 墙 早已 在 Cisco〈 思 科 ) 、3Com 等 大 的 网 络 设备 开发 
商 中 开发 成 功 ， 也 就 是 目前 所 称 的 “分 布 式 防火 墙 ” 和 “嵌入 式 防 火 墙 ”。 关 于 这 一 新 技 
术 在 本 篇 下 面 将 详细 介绍 。 

(2) 强大 的 审计 功能 和 自动 日 志 分 析 功 能 。 这 两 点 的 应 用 可 以 更 早 地 发 现 潜在 的 威胁 
并 预防 攻击 的 发 生 。 日 志 功能 还 可 以 使 管理 员 有 效 地 发 现 系统 中 存 的 安全 漏洞 ， 及 时 地 调 
整 安全 策略 等 各 方面 管理 具有 非常 大 的 帮助 。 不 过 具有 这 种 功能 的 防火 墙 通常 是 比较 高 级 
的 ， 早 期 的 静态 包 过 滤 防 火 墙 是 不 具有 的 。 

(3) 网 络 安全 产品 的 系统 化 

随 着 网 络 安全 技术 的 发 展 ， 现 在 有 一 种 提 法 ， 叫 做 “建立 以 防火 墙 为 核心 的 网 络 安全 
体系 ”。 因 为 我 们 在 现实 中 发 现 ， 仅 现 有 的 防火 墙 技术 难以 满足 当前 网 络 安全 需求 。 通 过 
建立 一 个 以 防火 墙 为 核心 的 安全 体系 ， 就 可 为 内 部 网 络 系统 部 署 多 道 安全 防线 ， 各 种 安全 
技术 各 司 其 职 ， 从 各 方面 防御 外 来 入 侵 。 

如 现在 的 IDS 设备 就 能 很 好 地 与 防火 墙 一 起 联合 。 一 般 情 况 下 ， 为 了 确保 系统 的 通信 
性 能 不 受 安全 设备 的 影响 太 大 ，IDS 设备 不 能 像 防火 墙 一 样 置 于 网 络 入 口 处 ， 只 能 置 于 旁 
路 位 置 。 而 在 实际 使 用 中 ，IDS 的 任务 往往 不 仅 在 于 检测 ， 很 多 时 候 在 IDS 发 现 入 侵 行为 
以 后 ， 也 需要 IDS 本 身 对 入 侵 及 时 遏止 。 显 然 ， 要 让 处 于 旁 路 侦 听 的 IDS 完成 这 个 任务 又 
太 难 了 ， 同 时 主 链 路 又 不 能 串 接 太 多 类 似 设备 。 在 这 种 情况 下 ， 如 果 防 火 墙 能 和 IDS、 病 
毒 检测 等 相关 安全 产品 联合 起 来 ， 充 分 发 挥 各 自 的 长 处 ， 协 同 配合 ， 共 同 建立 一 个 有 效 的 
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安全 防范 体系 ， 那 么 系统 网 络 的 安全 性 就 能 得 到 明显 提升 。 

目前 主要 有 两 种 解决 办 法 : 一 种 是 直接 把 IDS、 病 毒 检测 部 分 直接 “做 ”到 防火 墙 中 ， 
使 防火 墙 具 有 IDS 和 病毒 检测 设备 的 功能 ， 另 一 种 是 各 个 产品 分 立 ， 通 过 某 种 通信 方式 形 
成 一 个 整体 ， 一 旦 发 现 安全 事件 ， 则 立即 通知 防火 墙 ， 由 防火 墙 完成 过 滤 和 报告 。 目 前 更 
看 重 后 一 种 方案 ， 因 为 它 的 实现 方式 较 前 一 种 容易 许多 。 


4.6 ”防火 墙 应 用 


1. 防火 墙 选择 原则 

防火 墙 是 网 络 安全 基础 设施 之 一 ， 根 据 不 同 的 网 络 规模 、 网 络 结构 以 及 网 络 应 用 ， 对 
于 防火 墙 功能 和 性 能 的 需求 也 不 尽 相同 ， 那 么 ， 应 该 如 何 选择 合适 的 防火 墙 呢 ? 下 面 给 出 
一 个 简单 的 指导 。 

(1) 防火 墙 的 管理 难 易 度 是 防火 墙 能 否 达 到 目的 的 主要 考虑 因素 之 一 。 若 防火 墙 的 管 
理 过 于 困难 ， 则 可 能 会 造成 设 定 上 的 错误 ， 反 而 不 能 达到 其 功能 。 一 般 企业 之 所 以 很 少 用 
已 有 的 网 络 设备 直接 当 作 防火 墙 的 原因 ， 除 了 先前 提 到 的 包 过 滤 并 不 能 达到 完全 的 控制 之 
外 ， 设 置 工 作 困难 ， 要 具备 完整 的 知识 以 及 不 易 除 错 等 管理 问题 更 是 一 般 企 业 不 愿意 使 用 
的 主要 原因 。 

(2) 防火 墙 也 是 网 络 上 的 主机 之 一 ， 也 可 能 存在 安全 问题 。 防 火 墙 如 果 不 能 确保 自身 
安全 ， 则 防火 墙 的 控制 功能 再 强 ， 也 终究 不 能 完全 保护 内 部 网 络 。 如 果 防 火 墙 控制 机 制 失 
效 ， 则 一 个 黑客 可 能 取得 防火 墙 上 的 控制 权 ， 然 后 几乎 可 以 为 所 欲 为 地 修改 防火 墙 上 的 存 
取 规 则 ， 进 而 侵入 更 多 的 系统 。 

(3) 防火 墙 具 有 不 同 级 别 的 安全 等 级 规范 。 最 著名 的 就 是 美国 国家 安全 局 的 国家 计 
算 机 安全 中 心 颁 的 官方 标准 一 一 桔 皮 书 ， 其 正式 名 称 是 “受信 任 电脑 系统 评价 标准 ”， 
它 将 一 个 计算 机 系统 可 接受 的 信任 程度 予以 分 级 ， 依 安全 性 由 高 到 低 划 分 为 AB CD 四 
个 等 级 ， 其 中 这 些 安全 等 级 不 是 线性 的 ， 而 是 以 指数 级 上 升 的 。 选 择 防火 墙 时 要 注意 其 
安全 等 级 规范 指标 。 

(4) 好 的 防火 墙 必须 能 弥补 操作 系统 的 不 足 。 一 个 好 的 防火 墙 必须 是 建立 在 操作 系统 
的 底层 而 不 是 操作 系统 的 上 层 ， 所 以 操作 系统 的 漏洞 可 能 并 不 会 影响 到 一 个 好 的 防火 墙 系 
统 所 提供 的 安全 性 。 相 反 ， 一 个 好 的 防火 墙 系统 可 以 弥补 操作 系统 的 不 足 。 

(5) 一 个 好 的 防火 墙 不 但 本 身 要 有 良好 的 运行 效率 ,还 应 该 提供 多 平台 的 运行 方式 供 
使 用 者 选择 。 由 于 防火 墙 并 非 完 全 由 硬件 构成 ， 所 以 软件 所 提供 的 功能 以 及 运行 效率 一 定 
会 影响 到 整体 的 表现 ， 而 使 用 者 的 操作 意愿 及 熟悉 程度 也 是 必须 考虑 的 重点 。 毕 竟 使 用 者 
才 是 完全 的 控制 者 ， 应 该 选择 一 套 符合 现 有 环境 需求 的 软件 ， 而 并 非 为 了 软件 的 限制 而 改 
变现 在 的 环境 。 

(6) 一 个 好 的 防火 墙 就 必须 有 一 个 完善 的 售后 服务 作为 使 用 者 的 安全 后 盾 。 由 于 有 新 
的 产品 出 现 ， 就 会 有 人 研究 新 的 破解 方法 ， 所 以 一 个 好 的 防火 墙 提供 者 就 必须 有 一 个 强大 的 
服务 组 织 作为 使 用 者 的 安全 后 盾 ， 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防火 墙 作 见证 。 

(7) 企业 安全 政策 中 的 一 些 特殊 需求 也 要 作为 选择 防火 墙 的 一 个 标准 。 企 业 安全 政策 
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中 往往 有 些 特殊 需求 不 是 每 一 个 防火 墙 都 会 提供 的 ， 这 方面 常会 因此 成 为 选择 防火 墙 的 考 
处 因 素 之 一 。 

2. 个 人 防火 墙 举例 

为 了 进一步 了 解 个 人 防火 墙 的 功能 以 及 使 用 方法 ， 在 此 以 天 网 防火 墙 为 例 ， 说 明 个 人 
防火 墙 的 功能 以 及 使 用 方法 。 

应 用 程序 网 络 访问 规则 设置 的 具体 操作 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 天 网 防火 墙 ”|“ 天 网 防火 墙 ”命令 ， 出 现 “ 天 网 防火 
墙 个 人 版 ”窗口 ， 如 图 4-25 所 示 。 

(2) 当 有 程序 需要 和 网 络 上 的 其 他 程序 进行 通信 时 ， 天 网 防火 墙 会 出 现 提示 窗口 ， 提 
示 配 置 对 该 程序 的 通信 策略 ， 如 图 4-26 所 示 。 


的】 天 网 防火 墙 警告 信息 
是 否 允 许 TH. exe 访问 网 络 ? 


万 一 你 的 电脑 被 病 毒 、 天 意 问 站 对 扰 了 ， 网 络 信息 
就 看 要 对 其 进行 修复 ， 有 许多 新 手 修复 起 末 全 RS 条 
:016g cient tdoo0g 
。 天 同 大 晨 站 安全 本 二 文件 信息 
要 辐 安全 形 玖 及 有 对 措 。 分 你 全 面相 复 F more 二 作乱 多 得 W220 
We 


根 联 网 流 “ 黑 ” 流 易 是 否 受 彩 于 工 清 绪 PrStedl Lenir 
响 


“ 根 联网 站 被 四 扣 问 电子 支付 “ 宙 罗 TET 浏览 器 十 大 安全 要 点 
.视频 链 报 的 省 小 心 上 当 “防备 四 大 黑客 程序 杀手 侵 划 电脑 
“ 微型 处 理 器 存在 致命 漏洞 “小 工具 解决 大 问题 : 妈 清 防 全 能 


图 4-25 天 网 防火 墙 界面 图 4-26 警告 信息 窗口 

(3) 如 果 需 要 通信 的 程序 是 合法 程序 ， 这 时 可 以 选择 “该 程序 以 后 都 按照 这 次 的 操作 
运行 ” 复 选 框 ， 然 后 单 击 “ 人 允许 ”按钮 ， 如 果 需 要 通信 的 程序 是 非法 程序 ， 同 样 选择 “该 
程序 以 后 都 按照 这 次 的 操作 运行 ” 复 选 框 ， 然 后 单 击 “ 禁 止 ” 按 钮 ， 不 管 是 单 击 “ 人 允许 ” 
还 是 “禁止 ”按钮 ， 都 会 增加 一 条 应 用 程序 通信 规则 。 在 “天 网 防火 墙 ” 窗 口上 单 击 “应 用 
程序 规则 ”， 如 图 4-27 所 示 。 

(4) 每 项 应 用 程序 规则 都 针对 一 个 应 用 程序 的 通信 控制 策略 ， 可 以 设置 运行 通信 、 禁 
止 通信 以 及 通信 时 提示 三 种 方式 ， 设 置 方法 是 通过 单 击 应 用 程序 规则 项 目 右 侧 的 对 色 、 问 
号 或 者 又 ， 对 勾 表示 允许 通信 ， 问 号 表示 每 次 通信 时 询问 ， 然 后 根据 应 答 结果 来 决定 是 否 
通信 ， 叉 表示 禁止 通信 。 除 此 以 外 ， 还 可 以 单 击 “ 选 项 ”按钮 ， 出 现 更 详细 的 高 级 设置 选 
项 ， 如 图 4-28 所 示 。 

(5) 根据 需要 完成 设置 以 后 ， 单 击 “ 确 定 ” 按 钮 ， 使 设置 生效 。 

除了 上 述 的 按照 应 用 程序 设置 规则 以 外 , 天 网 防火 墙 还 提供 了 一 种 按照 中 规则 来 配置 
通信 策略 ， 而 不 管 是 什么 应 用 程序 进行 通信 ， 这 样 从 某 种 程度 上 简化 了 配置 过 程 。 

卫 规则 设置 的 具体 操作 如 下 。 

(1) 选择 “开始 ”| “程序 ”|“ 天 网 防火 墙 ” | “天 网 防火 墙 ” 命令 ， 出 现 “ 天 网 防火 
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墙 个 人 版 ”窗口 ， 如 图 4-25 所 示 。 


图 机 委 人 轩辕 豆 和 多? ， 


安信 别 : 低 


plesle ll El | 


图 4-27 应 用 程序 规则 图 4-28 ”应 用 程序 规则 高 级 设置 
(2) 在 “天 网 防火 墙 ”窗口 上 单 击 “ 人 PP 规则 管理 ”， 出 现 如 图 4-29 所 示 窗 口 。 
(3) 单 击 规则 列表 中 复 选 框 ， 可 以 设置 对 应 规则 是 否 有 效 ， 有 效 的 规则 显示 为 黑色 字 
体 ， 而 且 前 面 的 复 选 框 为 选中 状态 ， 无 效 规则 显示 为 浅 灰色 字体 ， 复 选 框 没有 被 选中 。 双 
击 规则 列表 中 的 “允许 自己 用 ping 命令 探测 其 他 机 器 ”规则 ， 出 现 规则 的 详细 信息 ， 如 图 
4-30 所 示 ， 然 后 可 以 对 这 些 规则 进行 修改 。 


图 4-29 了 JP 管理 规则 窗口 图 4-30 ”修改 卫 规则 对 话 框 

(4) 在 “ 当 满 足 上 面条 件 时 ”的 下 拉 列 表 框 中 选择 “通行 ”， 进 行 Ping 探测 其 他 计 
算 机 ， 选 择 “开始 ”|“ 运 行 ”命令 ， 出 现 如 图 4-31 所 示 的 窗口 。 

(5) 在 “打开 ”文本 框 中 输入 命令 “ping 192.168.1.1 -t”， 然 后 单 击 “ 确 定 ” 按 钮 ， 
出 现 如 图 4-32 所 示 。 

(6) 可 以 看 出 通过 Ping 的 方式 可 以 探测 其 他 主机 ， 此 时 将 第 (4) 步骤 的 “通行 ” 修 
改 为 “拦截 ”并 保存 刚才 设置 的 规则 ， 然 后 再 次 用 Ping 的 方法 来 探测 其 他 主机 ， 得 到 如 图 
4-33 所 示 的 结果 ， 说 明 已 经 不 能 运用 Ping 的 方式 来 探测 其 他 主机 了 。 
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中 名和 
3 四 : 厦 习 
图 4-31 运行 对 话 框 图 4-32 ”通过 Ping 探测 其 他 主机 
(7) “了 管理 规则 ”窗口 上 还 提供 有 对 卫 管理 规则 的 删除 、 添 加 、 保 存 、 导 入 、 导 
出 、 上 移 、 下 移 、 清 空 等 功能 ， 可 以 根据 实际 需要 对 这 些 规 则 进行 灵活 设置 。 


系统 设置 的 具体 操作 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 天 网 防火 墙 ” | “天 网 防火 墙 ” 命令， 出 现 “天 网 防火 
墙 个 人 版 ”窗口 ， 如 图 4-25 所 示 。 

(2) 在 “天 网 防火 墙 ” 窗 口上 单 击 “ 系 统 设 置 ”按钮 ， 出 现 如 图 4-34 所 示 窗 口 。 
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图 4-33 ”禁止 用 Ping 探测 其 他 主机 图 4-34 系统 设置 窗口 

(3) 系统 设置 窗口 中 包括 多 个 选项 卡 ， 在 基本 设置 选项 卡 中 选择 “开机 后 自动 启动 防 
火 墙 ” 单 选 框 ， 计 算 机 启动 时 ， 防 火 墙 会 随 着 计算 机 自动 启动 ， 如 果 没 有 选择 这 项 ， 计 算 
机 启动 以 后 需要 手动 启动 防火 墙 。 
(4) 选择 “管理 权限 设置 ”选项 卡 ， 可 以 进行 密码 设置 以 及 防火 墙 的 管理 方式 ， 如 图 


(5) 单 击 “ 设 置 密码 ”按钮 ， 可 以 设置 管理 密码 ， 单 击 “ 清 除 密码 ”， 可 以 清除 以 前 
的 密码 设置 ， 还 可 以 设置 在 运行 应 用 程序 通信 时 ， 是 否 需 要 输入 密码 。 

(6) 选择 “在 线 升级 设置 ”选项 卡 ， 这 里 可 以 设置 升级 策略 ， 即 是 否 在 有 升级 的 时 候 
进行 提示 ， 如 图 4-36 所 示 。 
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图 4-35 管理 权限 设置 窗口 图 4-36 ”在线 升级 设置 窗口 
(7) 选择 “日 志 管理 ”选项 卡 ， 可 以 设置 系统 的 日 志 管 理 方式 ， 比 如 是 否 自动 保存 日 
志 、 保 存 日 志 的 位 置 以 及 日 志文 件 的 大 小 限制 等 ， 如 图 4-37 所 示 。 
(8) 选择 “入 侵 检测 设置 ”选项 卡 ， 可 以 进行 简单 的 入 侵 检测 设置 ， 包 括 是 否 启 动 入 
侵 检 测 功能 、 对 检测 到 的 入 侵 行为 的 处 理 方式 ， 如 图 4-38 所 示 。 


| 
图 匆 妆 急 国 加 笃 合 了 
a: BRX | 
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图 4-37 日 志 管 理 设置 窗口 图 4-38 入侵 检 测 设置 窗口 
(9) 通过 对 上 述 的 各 种 设置 的 了 解 , 就 可 以 更 加 灵活 地 使 用 防火 墙 来 保护 自己 计算 机 
系统 的 安全 了 。 


习题 


1. 简 述 防火 墙 的 功能 。 

2. 如 何 对 防火 墙 技术 进行 分 类 ， 各 类 技术 的 工作 原理 是 什么 ? 
3. 防火 墙 体系 结构 包括 哪些 内 容 ? 

4. 简 述 防火 墙 技术 未 来 的 发 展 趋势 。 

5. 使 用 IRIS 协议 分 析 工 具 分 析 收 发 电子 邮件 过 程 。 
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教学 提示 

计算 机 安全 管理 主要 对 计算 机 系统 存在 的 各 种 安全 威胁 进行 管理 。 计 算 机 是 计算 机 网 
络 中 的 一 个 重要 组 成 部 分 ， 保 证 其 安全 对 于 整个 网 络 的 安全 具有 重要 意义 。 

计算 机 安全 管理 涉及 到 硬件 安全 、 操 作 系统 安全 、 应 用 软件 安全 以 及 数据 安全 等 多 个 
方面 ， 其 中 操作 系统 安全 和 数据 安全 具有 非常 重要 的 地 位 ， 操 作 系统 安全 是 基础 ， 数 据 安 
全 是 目的 ， 唯 有 这 二 者 同时 得 到 保障 ， 计 算 机 的 功能 才能 得 以 发 挥 。 本 章 将 对 计算 机 操作 
系统 安全 和 数据 安全 可 能 遇 到 的 各 种 安全 威胁 进行 探讨 ， 并 对 其 产生 的 原因 、 导 致 的 危害 
以 及 解决 方法 进行 说 明 。 

通过 对 本 章 的 学 习 ， 应 当 充 分 掌握 计算 机 面临 的 各 种 安全 威胁 ， 理 解 其 产生 的 原因 、 
造成 的 危害 以 及 解决 的 方法 。 计 算 机 安全 管理 是 一 个 复杂 的 系统 工程 ， 涉 及 的 内 容 多 而 且 
复杂 ， 同 时 随 着 时 间 的 推移 ， 新 的 内 容 还 会 不 断 加 入 进来 ， 要 做 好 这 项 工作 ， 需 要 长 期 不 
断 地 归纳 总 结 经 验 ， 不 断 提高 分 析 问 题 和 解决 问题 的 能 
教学 重点 

@ 计算 机 安全 管理 的 内 容 。 

@ 操作 系统 补丁 。 

@ 系统 安全 配置 。 

@ 系统 备份 。 

@ 数据 安全 。 


5.1 软件 安全 


这 里 的 软件 安全 包括 系统 软件 安全 和 应 用 软件 安全 ， 如 果 说 计算 机 硬件 是 身体 的 话 ， 
那么 计算 机 软件 就 是 灵魂 。 整 个 计算 机 系统 的 安全 必然 少不了 计算 机 软件 的 安全 。 计 算 机 
软件 包括 系统 软件 和 应 用 软件 ， 下 面 我 们 将 对 这 两 种 软件 的 安全 威胁 进行 讲解 。 


5.1.1 系统 补丁 


我 们 每 天 使 用 的 Windows 操作 系统 是 一 个 非常 复杂 的 软件 系统 ,因此 它 难免 会 存在 许 
多 的 安全 漏洞 ， 这 些 漏 洞 会 被 病毒 、 木 马 、 恶 意 脚本 、 黑 客 利用 ， 从 而 严重 影响 计算 机 使 
用 和 网 络 的 安全 和 畅通 。 微软 公司 会 不 断 发 布 升级 程序 供用 户 安装 。 这 些 升级 程序 就 是 “ 系 
统 补 丁 ”， 因 此 及 时 为 Windows 安装 系统 补丁 是 十 分 必要 的 。 

1. Windows 系统 补丁 

微软 发 布 的 系统 补丁 有 两 种 类 型 : Hotfix 和 Service Pack， 下 面 介 绍 它们 之 间 的 区 别 和 
联系 。 
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Hotfix 是 微软 针对 某 一 个 具体 的 系统 漏洞 或 安全 问题 而 发 布 的 专门 解决 程序 ，Hotfix 
的 程序 文件 名 有 严格 的 规定 ， 一 般 格式 为 “产品 名 -KBXXXXXX- 处 理 器 平台 -语言 
本 .exe”。 现 举 一 个 例子 来 详细 说 明 : 微软 针对 震荡 波 病毒 而 发 布 的 Hotfix 程序 名 为 
“Win2K-KB835732-X86-CHS.exe”， 这 个 补丁 是 针对 Win2000 系统 的 ， 其 知识 库 编号 为 
835732， 应 用 于 X86 处 理 器 平台 ， 语 言 版 本 为 简体 中 文 。 

Hotfix 是 针对 某 一 个 具体 问题 而 发 布 的 解决 程序 ， 因 此 它 会 经 常 发 布 ， 数 量 非常 大 。 
用 户 想 要 知道 目前 已 经 发 布 了 哪些 Hotfix 程序 是 一 件 非常 麻烦 的 事 ， 更 别提 自己 是 否 已 经 
安装 了 。 因 此 微软 将 这 些 Hotfix 补丁 全 部 打包 成 一 个 程序 提供 给 用 户 安装 ， 这 就 是 Service 
Pack， 简 称 SP。Service Pack 包含 了 发 布 日 期 以 前 所 有 的 Hotfix 程序 ， 因 此 只 要 安装 了 它 ， 
就 可 以 保证 自己 不 会 漏 掉 一 个 Hotfix 程序 。 而 且 发 布 时 间 晚 的 Service Pack 程序 会 包含 以 
前 的 Service Pack， 例 如 SP3 会 包含 SP1、SP2 的 所 有 补丁 。 

2. 更 新 安装 补丁 

根据 计算 机 的 使 用 环境 和 目的 ， 可 以 分 为 两 种 情况 ， 一 是 个 人 或 者 家 庭 使 用 ， 另 一 种 
是 企业 使 用 。 这 里 我 们 讲解 一 下 对 于 个 人 用 户 如 何 安装 和 更 新 补丁 程序 。 

(1) 手动 安装 

微软 专门 客户 帮助 和 支持 网 站 http://support.microsoft.com 提供 了 大 量 技术 文档 、 安 全 
公告 、 补 丁 下 载 服 务 ， 经 常 访问 该 网 站 可 及 时 获得 相关 信息 。 参 见 图 5-1。 
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图 5-1 微软 客户 帮助 和 支持 网 站 

另外 ,各 类 安全 网 站 、 杀 毒 软件 厂商 网 站 经 常会 有 安全 警告 ， 并 提供 相关 的 解决 方案 ， 
当然 也 包含 了 各 类 补丁 的 下 载 连 接 。 通 过 连接 下 载 回 补 丁 程序 后 ， 只 需 运行 安装 并 按 提示 
操作 即 可 。 
(2) 在 线 更 新 
手动 安装 是 比较 麻烦 的 ， 而 且 你 不 知道 系统 到 底 需要 哪些 补丁 ， 因 此 对 于 一 般 用 户 推 
荐 采用 在 线 自动 更 新 的 方式 。 以 Windows 2000 为 例 ， 操 作 步 又 如 下 。 

@ 选择 “开始 ” |“ 设置 ” |“ 控制 面 板 ”命令 ， 打 开 控制 面板 窗口 ， 如 图 5-2 所 示 。 

@ 双击 “自动 更 新 ”选项 ， 出 现 “ 自 动 更 新 ”对 话 框 ， 如 图 5-3 所 示 。 
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图 5-2 ”控制 面板 窗口 中 显示 自动 更 新 图 5-3 自动 更 新 对 话 框 

@ 选择 单 选 框 “自动 (推荐 ) ”, 并 在 下 面 的 下 拉 列表 框 中 选择 自动 下 载 更 新 的 时 间 ， 
可 根据 自己 的 实际 需要 来 选择 , 一 般 选 择 休息 时 间 , 如 图 5-3 设置 的 是 每 天 23:00 时 进行 自 
动 更 新 ， 完 成 后 点 击 确定 ， 这 样 系统 的 自动 更 新 功能 就 打开 了 ， 系 统 会 在 设 定 的 时 间 自 动 
连接 微软 网 站 下 载 更 新 ， 操 作 非 常 简单 。 

另外 ， 我 们 还 可 以 用 如 下 方法 更 新 。 

(1) 在 正 浏 览 器 中 , 选择 “工具 ”| Windows Update 命令 , 或 者 选择 “开始 ”| Windows 
Update 命令 ， 正 会 自动 打开 http://update.microsoft.com/windowsupdate， 稍 等 一 会 儿 后 ，IE 
显示 出 更 新 方式 选择 页 面 。 如 图 5-4 所 示 。 
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图 5-4 选择 更 新 方式 页 面 


提示 : 有 时 ， 微 软 会 先 要 求 下 载 新 的 在 线 更 新 软件 。 


(2) 可 以 看 到 ， 有 快速 和 自 定义 两 种 升级 方式 ， 推 荐 一 般 用 户 选择 “快速 ”方式 ， 这 
种 方式 只 查找 安装 最 适合 自己 计算 机 最 重要 的 更 新 程序 。 单 击 “ 快 速 ”按钮 后 ， 了 下 会 自动 
查找 最 新 的 更 新 程序 ， 如 图 5-5 所 示 。 
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5-5 查找 更 新 程序 窗口 
(3) 查找 最 新 的 更 新 程序 的 窗口 如 图 5-6 所 示 。 
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Er 


图 5-6 ”查找 更 新 程序 结果 
(4) 单 击 “ 安 装 更 新 程序 ”按钮 ， 弹 出 对 话 框 “正在 安装 更 新 程序 ”， 如 图 5-7 所 示 。 
(5) 更 新 程序 安装 完成 后 ， 显 示 如 图 5-8 所 示 ， 此 时 可 以 单 击 “ 现 在 重启 动 ”按钮 来 
完成 更 新 。 


正在 安装 更 新 李 序 


图 5-7 正在 安全 更 新 程序 窗口 5-8 ”完成 更 新 程序 安装 
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: 有 时 系统 有 多 个 更 新 软件 需要 安装 , 而 且 有 些 更 新 软件 需要 重新 启动 计算 机 才能 


完成 ， 所 以 可 以 重复 上 述 步骤 来 完成 。 
3. 查看 已 安装 补丁 
有 时 需要 确定 计算 机 系统 是 否 安装 了 某 个 补丁 ， 这 时 就 需要 知道 计算 机 系统 已 经 安装 
了 哪些 补丁 ， 可 以 通过 下 列 两 种 简单 的 方法 来 解决 。 
(1) 通过 注册 表 查 看 
当 安 装 了 系统 补丁 后 ， 注 册 表 中 会 留 下 相关 信息 ， 具 体位 置 视 操作 系统 的 不 同 而 异 : 
Windows 2000: HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Updates\Windows 
2000 
Windows XP: HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Updates\Windows XP 
Windows Server 2003: HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Updates\ 
Windows Server 2003 
查看 方法 如 下 。 
@ 选择 “开始 ”|“ 运 行 ”命令 ， 出 现 “ 运 行 ” 对 话 框 ， 如 图 5-9 所 示 。 
@ 在 文本 框 中 输入 regedit， 然 后 单 击 “ 确 定 ” 按 钮 或 者 按 回 车 键 ， 出 现 注 册 表 编辑 器 
窗口 ， 在 其 中 找到 HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Updates\Windows 
2000 位 置 ， 如 图 5-10 所 示 。 


ny 


Cm |]_ ww |wew. | i ES 
图 5-9 ”启动 注册 表 图 5-10 注册 表 中 查看 更 新 

@ 从 “注册 表 编 辑 器 ”窗口 中 可 以 看 到 ，Windows 2000 下 面 有 SP4 和 SP5 项 目 ， 双 
击 SP5,， 即 可 看 到 所 安装 的 更 新 程序 的 名 称 ， 单 击 KB329115， 可 在 右边 窗口 中 看 到 该 补丁 
的 相关 信息 ，Description 项 表示 更 新 程序 的 描述 ，InstalledDate 项 表示 安装 时 间 等 ， 如 图 
5-11 所 示 。 

(2) 利用 专用 软件 WinUpdatesList 

笔者 推荐 一 款 专 门 显示 、 管理 系统 补丁 信息 的 工具 软件 一 一 WinUpdatesList, 该 工具 可 
以 从 网 上 免费 下 载 。WinUpdatesList 的 主 窗口 如 图 5-12 所 示 。 

窗口 中 包含 两 个 面板 : 上 方 的 面板 中 显示 所 有 已 安装 在 你 的 计算 机 中 的 更 新 列表 ， 列 
表 显 示 了 补丁 名 称 、 描 述 等 详细 信息 。 当 你 在 上 方 的 面板 中 选择 一 个 hotfix( 类 型 为 Update) 
更 新 ， 下 方 的 面板 中 将 会 显示 选 定 hotfix 安装 的 文件 列表 ， 如 图 5-13 所 示 。 


同居 
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图 5-11 注册 表 中 查看 更 新 信息 


ECEETEE 
re 
Pc 
2 


pr 
Area TREETCTTTD 
nrena Ts om 记 宁 -KB8 ri 
mdom 200 能 福原 -MDO4， Arialor a Wns non 六 各所 -oa ， Ara 00s0ten lase2 
monz2000 位 序 包 -K8， pannel oan Ls2m woes Meda Flave 9 让 本 。 Adnrisrao 
ee te a ee a Wirdhwmy 200D 粹 补 程 序 CD03, pministrator 20050517 235025 
Wndows z050 做 朴 程序 -rB59，。 Adnrietraktor ol05 005070z.424zl ns nn 


21955769 Macect CUE Fol Wewe 
S$ 02195.5753 nomote Procedure CA Puninme on 219 7005 
S 029.7 Denbutedcom smrveee 2095 2059 


图 5-12 ”WinUpdatesList 启动 时 主 窗口 图 5-13 显示 选 定 更 新 的 文件 列表 
如 果 想 要 获得 某 个 指定 更 新 的 详细 信息 ， 在 上 方 的 面板 中 选择 希望 查看 的 项 目 ， 然 后 
在 “文件 ”菜单 (或 者 右键 弹出 菜单 ) 中 选择 “打开 网 页 连接 ”命令 。 浏 览 器 会 自动 打开 


一 个 包含 选 定 更 新 信息 的 微软 站 点 的 窗口 ， 如 图 5-14 所 示 ， 这 样 就 可 以 了 解 这 个 升级 包 的 
所 有 信息 了 。 
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图 5-14 打开 连接 的 网 页 窗口 
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提示 : 需要 注意 的 是 在 Windows 98/ME 的 系统 中 ， 某 些 栏 目 可 能 无 法 被 正常 显示 ， 这 
是 因为 相关 的 信息 没有 被 保存 在 注册 表 中 。 


5.1.2 配置 管理 


计算 机 操作 系统 为 了 提供 丰富 、 灵 活 的 功能 ， 以 方便 满足 更 多 的 客户 需求 ， 当 然 ， 也 
正 是 因为 如 此 ， 操 作 系 统 提 供 了 各 种 各 样 的 参数 配置 ， 有 时 为 了 使 用 上 的 方便 ， 有 时 为 了 
使 用 上 的 安全 ， 只 有 合理 配置 ， 才 能 满足 其 需求 ， 相 反 地 ， 如 果 没 有 对 系统 的 各 种 参数 合 
理 配置 ， 也 会 为 系统 带 来 安全 隐患 。 

没有 经 过 合理 配置 的 计算 机 ， 在 使 用 过 程 中 容易 出 现 安全 问题 ， 尤 其 是 连接 到 网 络 时 
更 容易 受到 来 自 网 络 的 攻击 ， 主 要 包括 以 下 几 个 方面 。 

(1) 被 他 人 盗 取 密 码 ; 

(2) 系统 被 木马 攻击 ; 

(3) 浏览 网 页 时 被 恶意 的 java scrpit 程序 攻击 ; 
(4) QQ 被 攻击 或 泄露 信息 ; 

(5) 病毒 和 ; 

(6) 系统 存在 漏洞 使 他 人 攻击 自己 ; 

(7) 黑客 的 录 

1. 察看 本 地 共享 资源 

查看 本 地 资源 的 操作 步骤 如 下 。 

(1) 选择 “开始 ” |“ 运行” 命令 ， 出 现 “ 运 行 ”对 话 框 。 输 入 CMD 并 回 车 ， 如 图 
5-15 所 示 。 

(2) 在 随后 出 现 的 CMD 窗口 中 ， 输 入 net share 并 回 车 。 可 以 看 到 ， 本 机 上 的 共享 名 
称 、 资 源 以 及 注释 说 明 ， 如 图 5-16 所 示 。 


x 
站 ] 村人 on 总 区 
打 fo:[n 司 
Ca ] | 四 本 
图 5-15 ”启动 命令 行程 序 图 5-16 启动 命令 行程 序 


2. 删除 默认 共享 
如 果 看 到 有 异常 共享 ， 那 么 应 该 关闭 ， 也 就 是 删除 。 
提示 : 有 时 你 关闭 共享 下 次 开机 的 时 候 又 出 现 了 ， 就 应 该 考虑 一 下 ， 机 器 是 否 已 经 被 黑 
客 所 控制 了 ， 或 者 中 了 病毒 。 


删除 默认 共享 的 命令 如 下 。 
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net share 共享 名 /delete 


下 面 是 删除 共享 的 例子 : 

net share adminy /delete 删除 admin$ 共 享 
net share cy$ /delete 删除 c$ 

net share d$ /delete 删除 d$ 


3. 删除 ipc$ 空 连接 

删除 ipc$ 空 连接 需要 在 注册 表 中 进行 。 方 法 如 下 : 

(1) 选择 “开始 ”|“ 运 行 ”命令 ， 出 现 “ 运 行 ”对 话 框 。 

(2) 输入 regedit， 出 现 “ 注 册 表 编辑 器 ”窗口 。 在 注册 表 中 找到 HKEY_LOCAL 
MACHINE\ SYSTEM\CurrentControSet\Control\LSA 项 ， 如 图 5-17 所 示 。 
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图 5-17 “注册 表 编辑 器 ”窗口 

(3) 双击 RestrictAnonymous， 出 现 “ 编 辑 双 字 节 值 ” 对 话 框 ， 将 “数值 数据 ” 由 0 
改 为 1， 如 图 5-18 所 示 。 

(4) 单 击 “ 确 定 ” 按 钮 。 

4. 关闭 139 端口 

操作 步骤 如 下 。 

(1) 选择 “开始 ” |“ 设置 ” |“ 网络 和 拨号 连接 ”命令 ， 出 现 “网络 和 拨号 连接 ” 窗 
口 ， 如 图 5-19 所 示 。 
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个 十 进 制 @) 


CJ] _w | 


图 5-18 ”修改 注册 表 键 值 窗口 图 5-19 网络 和 拨号 连接 窗口 
(2) 双击 “本 地 连接 ”， 出 现 “ 本 地 连接 状态 ”对 话 框 ， 如 图 5-20 所 示 。 
(3) 单 击 “ 属 性 ”按钮 ， 出 现 “ 本 地 连接 属性 ”对 话 框 ， 如 图 5-21 所 示 。 
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图 5-20 本 地 连接 状态 对 话 框 5-21 本 地 连接 属性 对 话 框 
(4) 在 “此 连接 使 用 下 列 选 定 的 组 件 ” 列 表 中 选择 “Microsoft 网 络 客户 端 ” 项 ， 并 
双击 ， 出 现 “Intermet 协议 (TCP/IP) 属性 ”对 话 框 ， 如 图 5-22 所 示 。 
(5) 单 击 “高 级 ”按钮 ， 出 现 “ 高 级 TCP/IP 设置 ”对 话 框 ， 并 选择 “WINS” 选 项 卡 ， 
如 图 5-23 所 示 。 


图 5-22 ”Intemet 协议 (TCP/IP) 属性 对 话 框 5-23 ”WINS 选项 卡 窗口 
(6) 选择 “禁用 TCP/IP 上 的 NetBIOS” 单 选 按钮 ， 然 后 单 击 “ 确 定 ”按钮 ，139 端 
口 就 成 功 关闭 了 。 
5. 防止 rpc 漏洞 
操作 步骤 如 下 。 
(1) 选择 “开始 ”|“ 设 置 ”|“ 控 制 面板 ”命令 ， 出 现 “ 控 制 面板 ”窗口 ， 如 图 5-2 
所 示 。 


(2) 在 “控制 面板 ”中 双击 “管理 工具 ”， 出 现 “ 管 理工 具 ” 窗 口 ， 如 图 5-24 所 示 。 

(3) 在 管理 工具 窗口 中 ， 双 击 “ 服 务 ”， 出 现 “ 服 务 ” 窗 口 ， 如 图 5-25 所 示 。 

(4) 找到 “Remote Procedure Call (RPC) Locator” 服 务 并 双击 ， 出 现 “Remote Procedure 
Call (RPC) Locator 的 属性 〈 本 地 计算 机 ) ”对 话 框 ， 并 选择 “故障 恢复 ”选项 卡 ， 如 图 5-26 
所 示 。 
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图 5-24 管理 工具 窗口 
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图 5-25 服务 窗口 图 5-26 服务 属性 对 话 框 

(5) 将 “第 一 次 失败 ”下 拉 列 表 ,， “第 二 次 失败 ”下 拉 列 表 ,， “后 续 失败 ”下 拉 列 表 ， 
都 选择 “不 操作 ”， 然 后 单 击 “ 确 定 ” 按 钮 ， 防 止 rpc 漏洞 的 操作 就 完成 了 。 

6. 关闭 445 端口 

关闭 该 端口 的 操作 步骤 如 下 。 

(1) 选择 “开始 ” |“ 运行 ”命令 ， 出 现 “ 运 行 ” 对 话 框 ， 输 入 regedit， 并 按 回 车 键 。 

(2) 在 打开 的 “注册 表 编 辑 器 ”窗口 左边 列表 中 选择 HKEY_LOCAL MACHINE\ 
System\CurrentControlSet\Services\NetBT\Parameters， 再 在 右 侧 窗口 中 ， 单 击 右 键 ， 在 弹出 
的 菜单 中 选择 “新 建 ”|“ 双 字 节 值 ” 菜 单项 ， 新 建 一 个 键 值 项 ， 如 图 5-27 所 示 。 


ETEEEE I 
EE 


图 5-27 新 建 键 值 项 
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(3) 右键 单 击 “ 新 值 所 ”, 选择 “ 重 命名 ”命令 ， 将 键 值 名 改 为 SMBDeviceEnabled， 
默认 值 为 0， 和 需要 设置 的 值 一 致 ， 这 样 就 完成 445 端口 关闭 了 。 
7. 关闭 3389 端口 
Windows 2000 Server 系统 下 关闭 该 端口 的 操作 步骤 如 下 。 
(1) 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 服 务 ” 命 令 ， 出 现 “服务 ”窗口 ， 在 服 
务 列表 中 找到 “Terminal Services” 服 务 并 双击 ， 
出 现 “Terminal Services 的 属性 〈 本 地 计算 机 ) ” 
对 话 框 ， 如 图 5-28 所 示 。 
(2) 在 “启动 类 型 ”下 拉 列 表 框 中 选择 “ 手 


动 ”选项 ， 单 击 “ 停 止 ” 按钮， 并 单 击 “ 确 定 ” | Pe 
按钮 ， 完 成 3389 端口 的 关闭 。 Rs 
县委 状 夫人 
8。 禁用 服务 | 
操作 方法 和 关闭 3389 端口 的 方法 基本 上 是 一 当 从 此 外 到 服务 时 ， 顽 可 指 室 所 用 的 启动 大 站 ， 
样 的 ， 所 以 此 处 不 再 一 一 详细 讲解 ， 下 面 将 一 些 。 SF 
服务 的 名 称 和 功能 列举 出 来 ， 根 据 自己 的 实际 需 二 
要 ， 可 以 选择 性 地 禁用 这 些 服务 。 图 5-28 Terminal Services 的 属性 对 话 框 
(1) Alerter [通知 选 定 的 用 户 和 计算 机 管理 
警报 ] 


(2) ClipBook [启用 “剪贴 簿 查看 器 ”储存 信息 并 与 远程 计算 机 共享 ] 

(3) Distributed File System [将 分 散 的 文件 共享 合并 成 一 个 逻辑 名 称 ,共享 出 去 , 关闭 
后 远程 计算 机 无 法 访问 共享 ] 

(4) Distributed Link Tracking Server [适用 局 域 网 分 布 式 链接 跟踪 客户 端 服 务 ] 

(5) Human Interface Device Access [启用 对 人 体 学 接口 设备 (HID) 的 通用 输入 访问 ] 

(6) IMAPI CD-Burning COM Service [管理 CD 录制 ] 

(7) Indexing Service [提供 本 地 或 远程 计算 机 上 文件 的 索引 内 容 和 属性 ， 泄 露 信息 ] 

(8) Kerberos Key Distribution Center [授权 协议 登录 网 络 ] 

(9) License Logging [监视 ITS 和 SQL 如 果 你 没 安装 IS 和 SQL 的 话 就 停止 ] 

(10) Messenger [警报 ] 

(11) NetMeeting Remote Desktop Sharing [Netmeeting 公司 留 下 的 客户 信息 收集 ] 

(12) Network DDE [为 在 同一 台 计 算 机 或 不 同 计算 机 上 运行 的 程序 提供 动态 数据 
交换 ] 

(13) Network DDE DSDM [管理 动态 数据 交换 (DDE) 网 络 共享 ] 

(14) Print Spooler [打印 机 服务 ， 没 有 打印 机 就 禁止 吧 ] 

(15) Remote Desktop Help Session Manager [管理 并 控制 远程 协助 ] 

(16) Remote Registry [使 远程 计算 机 用 户 修改 本 地 注册 表 ] 

(17) Routing and Remote Access [在 局 域 网 和 广域网 提供 路 由 服务 ， 黑 客 通过 路 由 服 
务 刺 探 注 册 信 息 ] 

(18) Server [支持 此 计算 机 通过 网 络 的 文件 、 打 印 和 命名 管道 共享 ] 

(19) Special Administration Console Helper [允许 管理 员 使 用 紧急 管理 服务 远程 访问 命 
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令 行 提示 符 ] 
(20) TCP/IPNetBIOS Helper [提供 TCP/IP 服务 上 的 NetBIOS 和 网 络 上 客户 端的 
NetBIOS 名 称 解 析 的 支持 而 使 用 户 能 够 共享 文件 、 打 印 和 登录 到 网 络 ] 
(21) Telnet [允许 远程 用 户 登 录 到 此 计算 机 并 运行 程序 ] 
(22) Terminal Services [允许 用 户 以 交互 方式 连接 到 远程 计算 机 ] 
(23) Window s Image Acquisition (WIA) [照相 服务 ， 应 用 与 数码 摄像 机 ] 
如 果 发 现 机 器 开启 了 一 些 很 奇怪 的 服务 ， 如 r_server 这 样 的 服务 ， 必 须 马 上 停止 该 服 
务 ， 因 为 这 完全 有 可 能 是 黑客 使 用 控制 程序 的 服务 端 。 
9. 账号 密码 的 安全 原则 
(1) 首先 禁用 Guest 账号 ， 这 是 计算 机 最 大 的 安全 隐患 之 一 。 具 体 的 操作 方法 如 下 。 
@ 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 计 算 机 管理 ”命令 ， 出 现 “ 计 算 机 管理 ” 
窗口 ， 如 图 5-29 所 示 。 
@ 在 “计算 机 管理 ”窗口 左边 ， 依 次 选择 “系统 工具 ”|“ 本 地 用 户 和 组 ”|“ 用 户 ”， 
然后 在 右边 窗口 中 双击 Guest 项 ， 出 现 “Guest 属性 ”对 话 框 ， 如 图 5-30 所 示 。 


ry eae 
es 


案 需 “| 妇 虹 于 | 配置 文件 | 执 入 | 


ef 
隔 TN tr 管理 计算机 ( 红 ) 的 内 置 性 户 EE Guest 
日 二 IT 内 Guest 殿 来 宾 沪 问 计 莉 机 了 访问 城 | 
由 加 事 人 查看 器 usR_4U5oF. 。 Irternet 来 让 由 号 本 名 访问 Kernet 信息 服务 
四 议 系 统 信 息 lIwAM_4usO,,。 启动 15 进程 帐号 局 动 进程 之 外 的 应 用 程序 的 全 各 加: | 
由 盘 性 能 日 志和 敖 报 TsinternetUser 。 TslnternetUser 这 个 用 户 帐户 流 终 篇 服务 所 
由 网 共享 立 件 严 WUSR_4USOF... VSA Server pccourt Account or the Visual Studio ET [EEC CT | 
设 管理 路 
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和 友 用 户 不 本 更 改 刘 码 
操 罗 让 全 扩 这 玛 水 不 过 期 ) 
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PE 
局 表明 了 动 器 所 柠 户 已 届 定 厅 
由 馈 可 泰 动 存储 
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图 5-29 计算 机 管理 窗口 图 5-30 Guest 属性 对 话 框 
@ 选择 “账户 已 停 用 ” 复 选 框 ， 然 后 单 击 “确定 ”按钮 ， 这 样 就 禁止 Guest 账号 了 。 
(2) 为 了 提高 系统 的 安全 性 ， 系 统 内 建 的 Administrator 账号 可 以 改名 ， 而 且 要 设置 一 
个 密码 ， 最 好 是 8 位 以 上 字母 数字 符号 组 合 。 
修改 系统 管理 员 账号 名 称 的 具体 操作 如 下 。 
@ 选择 “开始 ” |“ 程序 ”|“ 管 理工 具 ”|“ 本 地 安全 策略 ”命令 ， 出 现 “ 本 地 安全 策 
略 ” 窗 口 ， 如 图 5-31 所 示 。 


ET 坦 丰 0 | + 二 | 宇 | 四 | X 民 | 贸 


柯 | E ET I 
| 交 帐户 策略 村 友和 站 户 镇 定 策 四 

国 本 的 本 地 策略 审核 、 月 户 权利 和 安全 连 项 策略 

日 请 本 地 策略 2 


国人 
让 国 公司 第 略 | 罚 信安 全 第 咯 ， 在 本 地 机 器 。 Iternet 协 议 安全 性 pseci 管理 ， 为 后 8 的 计 … 
,在 相 


图 5-31 本 地 安全 策略 窗口 
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@ 在 本 地 安全 策略 窗口 的 左边 选择 “安全 设置 ”|“ 本 地 策略 ”|“ 安 全 选项 ”， 在 右 
边 窗口 中 找到 “ 重 命名 系统 管理 员 账 户 ” 并 双击 ， 出 现 “ 本 地 安全 策略 设置 ”对 话 框 ， 如 
图 5-32 所 示 。 

@ 在 “本 地 安全 策略 设置 ”文本 框 中 输入 新 的 系统 管理 员 账 号 名 称 , 然后 单 击 “ 确 定 ” 
按钮 ， 系 统管 理 员 账 号 名 称 就 改变 了 。 

修改 系统 管理 员 账号 密码 的 具体 操作 如 下 。 

@ 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 计 算 机 管理 ”命令 ， 出 现 “计算 机 管理 ” 
窗口 ， 如 图 5-29 所 示 。 

@ 在 “计算 机 管理 ”窗口 左边 中 ,依次 选择 “系统 工具 ”|“ 本 地 用 户 和 组 ”| “用户 ”， 
然后 在 右边 窗口 中 右 击 Administrator 项 或 者 新 设置 的 系统 管理 员 账号 ， 在 出 现 的 菜单 中 选 
择 “ 设 置 密码 ”菜单 项 ， 出 现 “ 设 置 密码 ”对 话 框 。 如 图 5-33 所 示 。 


图 5-32 “本 地 安全 策略 设置 ”对 话 框 图 5-33 “设置 密码 ”对 话 框 

@ 在 “新 密码 ”文本 框 中 输入 密码 ， 在 “确认 密码 ”文本 框 中 再 次 输入 同样 的 密码 ， 
单 击 “ 确 定 ” 按 钮 ， 系 统管 理 员 账号 的 密码 就 设置 好 了 。 

用 户 可 以 根据 自己 的 习惯 设置 密码 ， 为 了 密码 设置 有 一 定 的 安全 性 ， 可 以 通过 本 地 安 
全 策略 来 设置 密码 的 规范 。 

具体 的 操作 步骤 如 下 。 

@ 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 本 地 安全 策略 ”命令 ， 出 现 “ 本 地 安全 策 
略 ” 窗 口 ， 如 图 5-31 所 示 。 

@ 在 本 地 安全 策略 窗口 的 左边 选择 “安全 设置 ”|“ 账 户 策略 ”|“ 密 码 策略 ”， 在 右 
边 窗口 中 找到 “密码 必须 符合 复杂 性 要 求 ”并 双击 ， 出 现 “ 本 地 安全 策略 设置 ”对 话 框 ， 
如 图 5-34 所 示 。 

@ 选择 “已 启用 ” 单 选 按钮 ， 点 击 “ 确 定 ” 按 钮 ， 这 里 的 设置 可 以 生效 。 

@ 在 右边 窗口 中 找到 “密码 长 度 最 小 值 ” 并 双击 ， 出现“ 本 地 安全 策略 设置 ”对 话 框 ， 
如 图 5-35 所 示 。 

@ 在 “密码 必须 至 少 是 ”微调 按钮 中 设置 数字 8， 然 后 单 击 “ 确 定 ” 按 钮 ， 使 设置 
生效 。 

另外 还 有 “密码 最 长 存留 期 ”、“ 密 码 最 短 存留 期 ”、“ 强 制 密码 历史 ”、“ 为 域 中 
所 有 用 户 使 用 可 还 原 的 加 密 来 储存 密码 ”也 可 以 用 同样 的 方法 根据 需要 进行 设置 ， 一 般 情 
况 下 这 几 项 使 用 默认 设置 就 可 以 了 。 
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图 5-34 “本 地 安全 策略 设置 ”对 话 框 图 5-35 “本 地 安全 策略 设置 ”对 话 框 

10. 本 地 策略 

通过 本 地 策略 的 合理 配置 ， 可 以 让 系统 记录 相关 的 操作 信息 ， 以 便 在 必要 的 时 候 可 以 
检查 计算 机 系统 是 否 被 别人 操作 过 ， 或 者 受到 过 攻击 。 

有 具体 的 操作 方法 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 本 地 安全 策略 ”命令 ， 出 现 “ 本 地 安全 
策略 ”窗口 ， 如 图 5-31 所 示 。 

(2) 在 本 地 安全 策略 窗口 的 左边 选择 “安全 设置 ”|“ 本 地 策略 ”|“ 审 核 策略 ”， 在 
右边 窗口 中 找到 “审核 策略 更 改 ” 并 双击 ， 出 现 “本 地 安全 策略 设置 ”对 话 框 ， 如 图 5-36 
所 示 。 

(3) 选择 “成 功 ” 和 “失败 ”两 个 复 选 框 ， 表 示 会 同时 审计 成 功 和 失败 事件 ， 单 击 “ 确 
定 ” 按 钮 ， 使 设置 生效 。 

(4) 在 右边 窗口 中 找到 “审核 登录 事件 ”并 双击 ， 出 现 “ 本 地 安全 策略 设置 ”对 话 框 ， 
如 图 5-37 所 示 。 


图 5-36 “本 地 安全 策略 设置 ”对 话 框 图 5-37 “本 地 安全 策略 设置 ”对 话 框 

(5) 选择 “成 功 ” 和 “失败 ”两 个 复 选 框 , 表示 会 同时 审计 成 功 和 失败 事件 , 单 击 “ 确 
定 ” 按 钮 ， 使 设置 生效 。 

依照 同样 的 方法 对 “审核 对 象 访问 ”设置 失败 审核 、“ 审 核 过 程 追踪 ”设置 不 审核 、 
“审核 目录 服务 访问 ”设置 失败 审核 、“ 审 核 特 权 使 用 ”设置 失败 审核 、“ 审 核 系 统 事件 ” 
设置 成 功 和 失败 审核 、“ 审 核 账户 登录 事件 ”设置 成 功 和 失败 审核 、“ 审 核 账户 管理 ” 设 
置 成 功 和 失败 审核 。 

设置 审核 以 后 ， 系 统 会 产生 日 志 信息 ， 所 以 我 们 还 需要 设置 事件 日 志文 件 的 大 小 ， 以 
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满足 系统 记录 日 志 信 息 的 需要 ， 具 体 步 又 如 下 。 
(1) 选择 “开始 ”|“ 程 序 ”| “管理 工具 ”|“ 事 件 查 看 器 ”命令 ， 出 现 “ 事 件 查 看 器 ” 
窗口 ， 如 图 5-38 所 示 。 


ST 
| 染 作 (&) 查看 W || 和 小 | 和 鲁 | 四 | 园 | 狠 


关 型 “| 描述 大 小 

日 志 。 应 用 程序 错误 记录 128.0KB 
日 志 。 安全 审核 记录 64.0KB 
日 志 。 系统 错误 记录 512.0KB 


图 5-38 “事件 查看 器 ”窗口 

(2) 右键 单 击 窗口 左边 的 “应 用 程序 日 志 ” 项 ， 在 弹出 菜单 中 选择 “属性 ”命令 ， 出 
现 “ 应 用 程序 日 志 属性 ”对 话 框 ， 如 图 5-39 所 示 。 

(3) 在 “常规 ”选项 卡 下 的 “最 大 日 志文 件 大 小 ” 微调 按钮 中 设置 日 志文 件 最 大 的 
容量 为 51200KB， 即 50MB， 在 “ 当 达 到 最 大 的 日 志 尺 寸 时 ”选择 “不 改写 事件 ” 单 选 按 
钮 ， 单 击 “ 确 定 ” 按 钮 使 设置 生效 。 

(4) 依照 同样 的 方法 可 以 将 “安全 日 志 ” 和 “系统 日 志 ” 的 日 志文 件 最 大 的 容量 也 设 
置 为 51200KB， 并 设置 为 “不 改写 事件 ”。 

11. 查看 本 机 打开 的 端口 

有 时 为 了 确认 计算 机 上 是 否 有 木马 程序 ， 需 要 查看 计算 机 上 开放 了 哪些 端口 ， 具 体 的 
操作 方法 如 下 。 

选择 “开始 ”|“ 运 行 ” 命 令 ， 在 文本 框 中 输入 CMD， 出 现 命 令 行 窗 口 ， 在 命令 行 窗 
口中 输入 netstat -a 并 按 回 车 键 ， 如 图 5-40 所 示 。 
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CE |] 了 应 用 凶 
图 5-39 “应 用 程序 日 志 属 性 ”对 话 框 图 5-40 查看 本 机 端口 界面 
5.1.3 ”系统 备份 
虹 作 系统 常常 会 因为 各 种 各 样 的 原因 而 崩溃 ， 如 硬件 故障 、 软 件 损坏 、 病 毒 侵 柳 、 黑 


客 驭 扰 ， 或 者 是 我 们 自己 的 误 操作 而 造成 的 危险 在 时 刻 威 胁 着 我 们 。 系 统 朋 溃 或 产生 了 重 


大 错误 以 后 ， 最 好 的 办 法 就 是 重 装 系统 。 但 是 ， 为 了 保护 原 有 操作 系统 中 的 相关 配置 和 重 


第 5 章 计算 机 安全 管理 117 


要 数据 不 至 于 因为 重新 安装 系统 而 丢失 或 者 破坏 ， 在 重 装 之 前 ， 我 们 首先 应 该 做 的 就 是 对 
系统 中 的 重要 信息 进行 备份 ， 那 么 哪些 是 系统 中 的 重要 信息 呢 ， 下 面 我 们 将 详细 讲解 。 

1. 备份 硬盘 数据 

硬盘 数据 包括 主 引导 扇 区 、 操 作 系统 引导 扇 区 、FAT 表 、DIR 表 等 ， 这 是 计算 机 系统 
赖 以 正常 启动 的 基础 ， 因 此 ， 及 时 备份 好 硬盘 数据 是 首要 的 事情 。 对 于 硬盘 数据 的 备份 ， 
最 好 的 方法 莫 过 于 杀毒 软件 了 ， 推 荐 使 用 “瑞星 ”杀毒 软件 ， 因 为 它 不 仅 能 够 备份 以 上 的 
硬盘 数据 ， 而 且 可 以 让 用 户 设 定 自 动 备份 的 时 间 。 

具体 操作 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 瑞 星 杀毒 软件 下 载 版 ”|“ 瑞 星 杀毒 软件 ”命令 ， 出 现 
“瑞星 杀毒 软件 下 载 版 ”窗口 ， 如 图 5-41 所 示 。 

(2) 选择 “工具 列表 ”选项 卡 ， 在 列表 中 选择 “硬盘 数据 备份 ”， 单 击 右边 的 “运行 ” 
按钮 ， 出 现 窗口 如 图 5-42 所 示 。 
败诉 Eh 才 六 -eR 


妆 作 入 视 避 明 设置 避 和 用 dy) ner RE 
| 珊 和 中 以 、 岂 搜 7R ”工具 “安全 中 心 


桥 砚 盘 数据 备份 
| 

你 AR 不信 大 1 
Le] » rm 
[Oe 克 th 
人 Kr t 
个 中 里 中 心 Rit 
全 HB os 
大 T 

四 


ET 大 CE 


图 5-41 杀毒 软件 窗口 图 5-42 ”硬盘 数据 备份 窗口 
(3) 单 击 “ 开 始 备份 ”按钮 ， 开 始 进行 硬盘 数据 备份 ， 几 分 钟 后 硬盘 数据 就 可 以 备份 
成 。 


提示 : 备份 的 硬盘 数据 只 对 当前 硬盘 分 区 状态 有 效 ， 如 果 以 后 又 对 硬盘 重新 进行 分 区 或 


让 


调整 了 分 区 的 大 小 ， 那 么 就 应 该 重新 备份 。 


2. 备份 注册 表 

注册 表 中 存放 着 计算 机 的 所 有 设置 和 各 种 软 硬 件 的 注册 信息 ， 所 以 它 的 重要 性 是 不 言 
自明 的 ， 因 而 及 时 备份 注册 表 是 一 项 极其 重要 的 工作 。 

具体 的 操作 步骤 如 下 。 

(1) 选择 “开始 ” |“ 运行 ”命令 ， 在 文本 框 中 输入 regedit， 出 现 “ 注 册 表 编辑 器 ” 
窗口 ， 如 图 5-17 所 示 。 

(2) 在 “注册 表 编辑 器 ”窗口 中 选择 “注册 表 ”|“ 导 出 注册 表 ” 命 令 ， 出 现 “ 导 出 
注册 表 文 件 ” 对 话 框 ， 如 图 5-43 所 示 。 

(3) 在 “保存 在 ”下 拉 列 表 框 中 选择 一 个 位 置 ， 再 在 “文件 名 ”文本 框 中 设置 一 个 文 
件 名 ， 选 择 “ 全 部 ” 单 选 按钮 ， 然 后 单 击 “ 保 存 ” 按 钮 ， 这 样 就 完成 注册 表 的 备份 了 。 

除了 上 述 的 备份 方式 以 外 , 还 可 以 直接 将 操作 系统 目录 (如 C:\Windows) 中 的 User.dat 
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和 System.dat 两 个 文件 复制 出 来 ， 也 能 达到 备份 注册 表 的 目的 。 

3. 备份 驱动 程序 

重 装 系统 后 ， 就 需 安装 各 种 硬件 的 驱动 程序 ， 而 查找 、 安 装 各 类 显卡 、 声 卡 的 驱动 时 不 
但 费时 间 ， 而 且 容 易 出 现 错误 ， 实 在 是 很 麻烦 的 事情 ， 如 果 丢 失 了 驱动 光盘 ， 那 更 要 费 一 番 
周折 。 这 里 介绍 一 种 简单 的 方法 来 解决 这 个 问题 ， 在 第 一 次 安装 完 驱动 程序 以 后 ， 用 “驱动 
程序 备份 专家 ”工具 软件 将 驱动 程序 备份 起 来 ， 下 次 重新 安装 以 后 ， 再 恢复 回去 就 好 了 。 

有 具体 的 操作 方法 如 下 : 

(1) 选择 “开始 ”|“ 程 序 ”|“ 驱 动 程序 备份 工具 ”|“ 驱 动 程序 备份 工具 ”命令 ， 出 
现 驱 动 程序 备份 工具 窗口 ， 如 图 5-44 所 示 。 


ETTEEII 到 到 EE 


i FE Rs 亏 站 区 
FE Rs | 


图 5-43 “导出 注册 表 文 件 ”对 话 框 图 5-44 ”驱动 程序 备份 专家 窗口 
(2) 单 击 “ 全 选 ” 按 钮 ， 选 择 所 有 的 驱动 程序 ， 然 后 单 击 “备份 ”按钮 ， 出 现 “ 浏 览 
文件 夹 ” 对 话 框 ， 如 图 5-45 所 示 。 
(3) 在 “浏览 文件 夹 ” 对 话 框 中 ， 选 择 一 个 保存 备份 的 位 置 ， 单 击 “ 确 定 ” 按 钮 ， 这 
样 就 完成 驱动 备份 了 。 
提示 : “驱动 程序 备份 专家 ”工具 软件 可 以 从 网 上 免费 下 载 ， 然 后 安装 到 自己 的 计 


算 机 上 。 


4. 备份 邮件 账号 

当 有 多 个 Outlook Express 邮件 账号 需要 备份 时 ， 操 作 方 法 和 注册 表 的 备份 基本 上 是 一 
致 的 ， 所 以 这 里 只 是 简单 说 明 一 下 ， 首 先 打开 注册 表 编 辑 器 ， 在 注册 表 编 辑 器 中 依次 展开 
到 HKEY CURRENT USER\Software\Microsoft\Intemet Account Manager\Accounts 分 支 ， 
如 果 Outlook Express 中 有 五 个 邮件 账号 ,那么 在 Accounts 键 下 就 会 有 00000001 一 00000005 
五 个 子 键 。 单 击 Accounts 键 ， 选 择 “注册 表 ”|“ 导 出 注册 表 文 件 ” 命 令 ， 在 “导出 范围 > 
中 选择 “选择 的 分 支 ”， 输 入 备份 文件 名 ， 按 “确定 ”按钮 即 可 将 它们 备份 出 来 。 

5. 备份 个 人 资料 

个 人 资料 是 计算 机 用 户 最 重要 的 数据 ， 包 括 个 人 文件 、 下 载 资料 、 个 人 邮件 、OICQ 
或 ICQ 数据 等 。 

对 于 个 人 文件 、 下 载 资料 的 备份 来 说 ， 我 们 只 需 将 它们 复制 到 硬盘 的 非 系 统 分 区 或 刻 
录 到 光盘 等 地 方 就 行 了 。 
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对 于 个 人 邮件 的 备份 来 说 ， 如 果 使 用 的 是 Outlook Express， 那 么 ， 就 应 该 将 


C:\Documents and Settings\User name\Local Settings\Application Data\Identities\{ 数字 串 咎 
MicrosofhOutlook Express\ 目 录 中 的 “ 收 件 箱 .dbx” 和 “发 件 箱 .dbx” 两 个 文件 复制 到 非 系 
统 区 。 当 然 ， 最 好 是 平时 就 将 邮件 位 置 自 定义 到 其 他 地 方 ， 具 体 的 步骤 是 : 


(1) 选择 “开始 ”|“ 程 序 ”| Outlook Express 命令 ， 出 现 Outlook Express 窗口 ， 如 图 


5-46 所 示 。 


邻居 
HA WinlpdatesList CZ 到 


mem) 


图 5-45 “浏览 文件 夹 ” 对 话 框 图 5-46 ” Outlook Express 窗口 
(2) 在 Outlook Express 窗口 中 ， 选 择 “ 工 具 ”|“ 选 项” 命令， 出 现 “ 选 项 ”对 话 框 ， 


如 图 5-47 所 示 。 


(3) 单 击 “ 存 储 文件 夹 ” 按 钮 ， 出 现 “存储 位 置 ”对 话 框 ， 如 图 5-48 所 示 。 


而 这 项 到 4 
em ee fe IE | ms 


人 
厂 进出 时 诗 室 “ 己 册 阶 邮 件 ”区 首 亚 中 的 邮件 到) 


i 
De 以 更 下 低 半 全 6 御 的 。。 在 人 六 半天 思 ) 


全 。 和 人 修 的 个 人 邮件 夹 位 于 下 面 的 文件 夹 中 OOD) 
厂 邮 件 如 厂 新 闻 史 厂 IWPD 三 Wr? 册 =\Docunents and Settings\Administrator\Local Settings\ 


Me | wo. | ww | 


图 5-47 “选项 ”对 话 框 图 5-48 “存储 位 置 ” 对 话 框 
(4) 单 击 “ 更 改 ” 按 钮 ， 出 现 “ 浏 览 文件 夹 ”对 话 框 ， 如 图 5-49 所 示 。 
(5) 在 “浏览 文件 夹 ” 对 话 框 中 ， 选 择 希 望 保存 的 文件 夹 ， 然 后 单 击 “ 确 定 ” 按钮 ， 


保存 设置 的 位 置 。 


十 


这 样 就 完成 了 Outlook Express 默认 邮件 数据 存储 位 置 的 修改 了 。 
而 对 于 备份 Foxmail 邮件 来 说 则 比较 简单 ， 只 需 将 Foxmail 安装 目录 下 的 Mail 子 目录 


P 的 文件 复制 到 非 系统 区 就 行 了 。 


OICQ 与 ICQ 的 备份 : 对 于 OICQ 来 说 ， 聊 天 记录 和 个 人 信息 都 存放 在 本 地 ， 最 简单 


的 方法 就 是 把 OICQ 的 安装 文件 夹 中 与 自己 OICQ 号 同名 的 子 文件 夹 复 制 出 来 就 行 。 当 然 ， 
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也 可 以 利用 OICQ 提供 的 “导出 ”功能 也 能 备份 聊天 记录 。ICQ 却 与 OICQ 不 同 ，ICQ 并 
没有 将 好 友 名 单 保存 在 服务 器 中 ， 而 是 保存 在 了 客户 端 ， 因此， 在 重 装 系统 后 ， 不 仅 要 重 
复 输入 自己 的 ICQ 号 和 密码 , 而 且 还 要 重新 输入 好 友 们 的 ICQ 号 进行 搜索 并 等 待 他 们 的 确 
认 ， 操 作 过 程 极为 繁琐 。 所 以 ， 我 们 应 该 利用 第 三 方 软件 来 完成 备份 工作 ， 在 这 里 ， 向 大 
家 推荐 使 用 ICQ Rescue 这 款 专门 备份 ICQ 的 免费 软件 , 使 用 非常 简单 ,并且 有 详细 的 提示 ， 
具体 的 操作 就 不 多 说 了 。 
6. 备份 通信 簿 
对 于 通信 禾 的 备份 ， 只 需 将 “系统 盘 \Documents and Settings\ 用 户 名 \Application Data\ 
Microsoft\Address Book” 中 的 文件 复制 到 非 系统 区 即 可 。 
当然 ， 我 们 也 可 通过 邮件 软件 本 身 来 备份 ， 具 体操 作 如 下 。 
(1) 选择 “开始 ”|“ 程 序 ”| Outlook Express 命令 ， 出 现 Outlook Express 窗口 ， 如 图 
5-46 所 示 。 
(2) 选择 “文件 ”|“ 导 出 ”|“ 通 信德 ”命令 ， 出 现 “ 通 信 短 导 出 工具 ”对 话 框 ， 如 
5-50 所 示 。 


EE | 
请 选择 0ut-ook Express 存放 邮件 的 文件 亚 。 
lannstIa > 
有 讯 簿 信息 导出 到 的 程序 或 文件 类 型 ， 然 后 单 击 “ 导 出 "” 按 
ER iia 
日 自 eried m Dats 
田 Mobe 
由 Ee 区 6s0f Ex change 下 人 RER 
a LD Sw | 
BE waaeacm _zm | 


BO Merosoft 


图 5-49 “浏览 文件 来” 对话 框 图 5-50 “通信 簿 导出 工具 ”对 话 框 
(3) 选择 一 种 格式 ,一 般 选择 “文本 文件 (以 逗号 分 隔 ) ”， 然 后 单 击 “导出 ”按钮 ， 
出 现 “CVS 导出 ”对 话 框 ， 如 图 5-51 所 示 。 
(4) 在 “将 导出 文件 另存 为 ”文本 框 中 输入 文件 位 置 和 文件 名 ， 然 后 单 击 “ 下 一 步 ” 
按钮 ， 此 时 可 以 选择 要 导出 的 内 容 ， 如 图 5-52 所 示 。 


wm | | 


图 5-51 “CSV 导出 ”对 话 框 图 5-52 “选择 导出 的 内 容 ” 对 话 框 
(5) 单 击 希望 导出 的 项 目 ， 使 其 处 于 选中 状态 ， 设 置 完 成 后 ， 单 击 “ 完 成 ”按钮 ， 此 
时 完成 通信 簿 备份 。 
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7. 备份 邮件 规则 与 个 性 化 签名 

通过 定制 邮件 规则 可 以 有 效 地 防止 垃圾 邮件 ,这些 规则 可 以 在 脱 机 状态 下 设 定 ， 因 此 ， 
邮件 规则 的 备份 也 是 一 项 很 重要 的 工作 。 邮 件 规则 的 备份 可 以 借助 于 注册 表 编 辑 器 ， 找 到 
HKEY CURRNT USER\Identities\{77BEB813-E85F-411A-9704-CA8F14492CC2}\Software\ 
Microsoft\Outlook Express\5.0\Rules\Mail， 该 主键 中 保存 着 邮件 规则 设置 ， 当 然 ,用户 不 同 ， 
那么 大 括号 中 的 数据 也 会 有 所 不 同 ， 将 Mail 主键 导出 ， 即 可 完成 邮件 规则 的 备份 。 

个 性 化 签名 可 以 有 两 种 不 同 的 实现 方式 ， 一 是 文本 方式 ， 即 直接 在 Outlook Express 中 
输入 ; 二 是 文件 方式 ， 即 指定 某 文件 作为 签名 ， 并 附加 在 邮件 的 末尾 。 对 于 后 者 ， 备 份 自 
然 非常 简单 。 而 备份 前 者 就 需要 在 注册 表 中 进行 操作 。 个 性 化 签名 位 于 注册 表 中 
HKEY CURRNT USER\Identities\{77BEB813-E85F-411A-9704-CA8F14492CC2}\Software\ 
Microsoft\Outlook Express\5.0 主键 下 的 Signatures 键 值 项 中 ， 导 出 Signatures 也 就 备份 了 个 
性 化 签名 。 

8. 备份 IE 收藏 夹 

IE 收藏 夹 中 的 BOOKMARKS 存放 在 X:\Documents and Settings\ 用 户 名 \Favorites\ 目 录 
中 的 许多 URL 链接 ， 把 它们 复制 出 来 即 可 完成 备份 工作 ， 而 当 重 新 安装 好 系统 后 再 将 其 复 
制 到 原来 的 目录 下 即 可 完成 恢复 。 除 此 以 外 ， 我 们 还 可 以 利用 下 的 “导出 ”功能 、 改 变 收 
藏 夹 存放 路 径 来 实现 备份 。 

(1) 利用 下 的 “导出 ”功能 ， 有 具体 操作 如 下 。 

@ 选择 “开始 ”| 程序 ”| Intemet Explore 命令 ， 出 现 Internet Explore 窗口 ， 如 图 5-53 

所 示 。 


EE 
-可 目 人 日 


图 5-53 ”Internet Explore 窗口 
@ 选择 “文件 ”|“ 导 入 和 导出 ”， 出 现 “ 导 入 /导出 向 导 ” 对 话 框 ， 如 图 5-54 所 示 。 
@ 单 击 “ 下 一 步 ”按钮 ， 可 以 选择 需要 进行 的 操作 ， 这 里 选择 “导出 收藏 夹 ”， 
如 图 5-55 所 示 。 


| 
导入 /导出 选择 
欢迎 使 用 导入 /导出 向 导 可 以 过 择 导入 吉 导 出 的 内 容 - 
Nt 
和 Re 
向 另 
单 击 “ 下 一 步 ” 继续 ,或 单 击 “ 取 消 ” 退 出 该 向导。 
mw | ee 


图 5-54 导入 /导出 向 导 图 5-55 选择 要 执行 的 操作 
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@ 单 击 “ 下 一 步 ”按钮 ， 提 示 需 要 从 哪个 文件 夹 开 始 导出 ， 如 图 5-56 所 示 。 
@ 选择 好 要 导出 的 文件 夹 以 后 ， 单 击 “ 下 一 步 ”按钮 ， 提 示 输 入 导出 文件 的 路 径 和 文 
件 名 ， 如 图 5-57 所 示 。 


Ps 六 ESETTTI > 
导出 收 阅 夹 源 文件 来 
导出 收 亲 考 目 未 
请 选择 从 哪个 文件 夹 导出 。 和 让 于 导 册 gt 而 
到 可 以 格 收 闪 天 导出 到 其 好 wet 测 中 可 或 文件 
Corel on the Web 用 短 序 (A 
险 相关 


他 导出 到 区 件 取 地 址 吕 ) 
VDocuments end Settines\Aininistr ator\ly TD 


浏览 加. 
对 
一 | mw | 
图 5-56 ”选择 导出 文件 夹 图 5-57 设置 导出 文件 路 径 和 名 称 


@ 设置 好 导出 文件 的 路 径 和 名 称 以 后 ， 单 击 “ 下 一 步 ”按钮 ， 导 出 程序 自动 完成 。 
(2) 改变 收藏 夹 存 放 路 径 ， 具 体操 作 如 下 : 

在 注册 表 编 辑 器 中 展开 到 HKEY_CURRENT _ USER\Software\ Microsoft\Windows\ 
CurrentVersion\Explorer\Shell Folders 分 支 ， 在 右 窗口 中 找到 Favorites 键 值 项 ， 双 击 它 后 ， 
在 “数据 数值 ”中 输入 E:\favorites 即 可 。 这 样 ， 以 后 收藏 夹 中 的 内 容 都 存放 到 了 王 区 中 〈 如 
果 王 区 是 非 系统 区 ) 。 

9. 备份 自 定义 词组 

平时 ， 我 们 为 了 更 方便 、 快 捷 地 输入 词组 ， 经 常会 自己 定义 一 些 词组 ， 但 系统 一 旦 崩 
省 ， 这 些 自 定义 的 词组 也 就 会 随 之 “牺牲 ”， 那 么 ， 我 们 就 应 该 将 它们 加 以 备份 ， 以 供 重 
装 系统 后 再 用 。 在 C:\Windows\System32\ 文 件 夹 中 ，Wbx.emb、tmmr.rem、pXXXp.upt 三 个 
文件 分 别 对 应 着 五 笔 输入 、 智 能 拼音 、 微 软 拼音 三 种 输入 法 的 自 定义 词组 (其 中 的 XXX 
是 登录 系统 时 输入 的 用 户 名 ) ， 把 它们 复制 出 来 就 行 了 。 另 外 ， 对 于 手工 造 词 ， 可 以 利用 
它 的 “功能 菜单 ”中 的 “ 自 造 词 工具 ” 自 带 的 “导出 ”命令 将 其 保存 到 其 他 位 置 ， 这 样 的 
保存 也 能 达到 备份 的 目的 。 

10. 备份 系统 分 区 

备份 系统 分 区 ,一 个 方法 是 用 Ghost 备 份 整个 系统 盘 , 另 外 一 个 方法 是 使 用 Windows XP 
自 带 的 “系统 还 原 ” 功 能 来 备份 。 

(1) 使 用 Ghost 备份 的 方法 如 下 : 

@ 启动 Ghost 备份 程序 ， 界 面 如 图 5-58 所 示 。 

@ 选择 Local | Partition | To Image 命令 ， 弹 出 选择 硬盘 窗口 ， 如 图 5-59 所 示 。 

@ 从 列表 中 选择 硬盘 ， 然 后 单 击 OK 按钮 ， 出 现 选 择 分 区 的 窗口 ， 如 图 5-60 所 


不 。 
@ 用 鼠标 单 击 列表 项 选择 要 备份 的 分 区 ， 完 成 后 ， 单 击 OK 按钮 ， 要 求 设置 备份 文件 
存放 路 径 和 文件 名 ， 如 图 5-61 所 示 。 
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图 5-60 选择 要 备份 的 分 区 图 5-61 设置 备份 文件 路 径 和 文件 名 
@ 设置 完成 备份 路 径 和 文件 名 后 ， 单 击 Save 按钮 ， 备 份 程序 开始 备份 ， 备 份 完成 时 
系统 会 提示 ， 备 份 完成 。 
(2) 使 用 Windows XP 自 带 的 “系统 还 原 ” 功 能 来 备份 ， 操 作 比较 简单 ， 希 望 读 者 自 
己 作 为 练习 来 完成 这 种 方式 的 备份 。 
认真 做 好 备份 工作 ， 当 系统 崩溃 时 才 不 至 于 后 悔 莫 及 。 


5.1.4 反 间 谍 软 件 


间谍 软件 是 一 种 通用 术语 ， 用 于 描述 执行 某 些 特定 任务 的 软件 ， 例 如 ， 在 未 经 您 同意 
或 控制 的 情况 下 ,收集 个 人 信息 或 更 改 您 计算 机 的 配置 。 间谍 软件 可 使 您 的 计算 机 速度 明 
显 变 慢 ， 对 关键 设置 进行 更 改 ， 并 且 难 以 删除 它们 。 

反 间 谍 软 件 可 以 通过 检测 和 删除 已 知 间谍 程序 来 帮助 保护 您 的 计算 机 免 受 间谍 软件 和 
其 他 潜在 不 受 欢迎 的 软件 的 攻击 。 您 可 以 安排 该 软件 在 您 方便 时 对 您 的 计算 机 进行 扫描 。 

1. 什么 是 间谍 软件 

间谍 软件 是 执行 某 些 行为 (例如 广告 、 收 集 个 人 信息 或 通常 没有 经 过 您 的 同意 就 更 改 
计算 机 的 设置 ) 的 软件 的 通用 术语 。 如 果 出 现 以 下 情况 ,您 的 计算 机 上 就 可 能 存在 间谍 软 
件 或 其 他 有 害 的 软件 。 

(1) 甚至 您 不 在 Web 上 也 会 看 见 弹 出 式 广告 。 

(2) 您 的 Web 浏览 器 首先 打开 的 页 面 (主页) 或 您 的 浏览 器 搜索 设置 已 在 您 不 知情 
的 情况 下 被 更 改 。 
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(3) 您 注意 到 浏览 器 中 有 一 个 您 不 需要 的 新 工具 栏 ， 并 且 发 现 很 难 将 其 删除 。 

(4) 您 的 计算 机 完成 某 些 任务 所 需 的 时 间 比 以 往 要 长 。 

(5) 计算 机 崩溃 的 次 数 突然 上 升 。 

间谍 软件 通常 和 显示 广告 的 软件 〈 称 为 “广告 软件 ”) 或 跟踪 个 人 或 敏感 信息 的 软件 
联系 在 一 起 。 这 并 不 意味 着 所 有 提供 广告 或 跟踪 您 的 在 线 活动 的 软件 都 是 恶意 软件 。 例 如 
您 可 能 要 注册 免费 音乐 服务 ， 但 代价 是 要 同意 接收 目标 广告 。 如 果 您 理解 并 同意 该 条 款 ， 
您 可 能 已 确定 这 是 一 桩 公平 交易 。 您 也 可 能 同意 让 该 公司 跟踪 您 的 在 线 活动 以 确定 要 显示 
的 广告 。 

其 他 的 有 害 软件 会 对 您 的 计算 机 作出 一 些 令 人 烦恼 的 更 改 ， 而 且 可 能 会 导致 计算 机 变 
慢 或 衣 演 。 这些 程 序 能 够 更 改 Web 浏览 器 的 主页 或 搜索 页 , 或 者 在 您 的 浏览 器 中 添加 您 不 
需要 的 附加 组 件 。 这 些 程序 还 会 使 您 很 难 将 您 的 设置 恢复 为 原始 设置 。 这 些 类 型 的 有 害 程 
序 通 常 也 称 为 间谍 软件 。 

一 切 的 关键 在 于 您 (或 其 他 使 用 您 的 计算 机 的 人 〉 是否 了 解 软件 要 执行 的 操作 以 及 是 
否 已 同意 将 软件 安装 在 您 的 计算 机 上 。 

间谍 软件 或 其 他 有 害 的 软件 有 多 种 方法 可 以 侵入 您 的 系统 。 常 见 的 伎俩 是 在 您 安装 
需要 的 其 他 软件 (如 音乐 或 视频 文件 共享 程序 ) 期 间 偷偷 地 安装 该 软件 。 每 当 在 计算 机 
上 安装 程序 时 ， 请 确保 您 已 仔细 阅读 所 有 的 公告 ， 包 括 许可 协议 和 隐私 声明 。 有 时 在 特 
定 软件 安装 中 已 经 记录 了 包括 有 害 软件 的 信息 ， 但 是 此 信息 可 能 出 现在 许可 协议 或 隐私 
声明 的 结尾 。 

2. 间谍 软件 的 征兆 

如 果 您 的 计算 机 开始 有 异常 的 表现 或 显示 出 下 面 所 列 的 任何 症状 ， 则 您 的 计算 机 上 可 
能 安装 了 间谍 软件 和 其 他 有 害 的 软件 。 

(1) 我 老 是 看 见 弹出 式 广 告 。 一 些 有 害 的 软件 会 连珠 炮 似 的 弹出 与 当前 访问 的 特定 
Web 站 点 无 关 的 广告 。 这 些 广告 通常 是 令 人 反感 的 其 他 Web 站 点 。 如 果 您 在 刚 打 开 计 算 机 
时 ， 甚 至 还 没 开 始 浏览 Web 时 就 看 见 弹出 式 广告 ， 您 的 计算 机 上 就 可 能 存在 间谍 软件 或 
其 他 有 害 的 软件 。 

(2) 我 的 设置 已 被 更 改 , 但 是 我 不 能 将 其 恢复 原状 。 一 些 有 害 的 软件 能 够 更 改 您 的 主 
页 或 搜索 页 设置 。 这 意味 着 您 启动 mtemet 浏览 器 时 首先 打开 的 页 面 或 您 选择 “搜索 ”时 出 
现 的 页 面 可 能 是 您 不 认识 的 页 面 。 即 使 您 知道 如 何 调整 这 些 设 置 ， 您 可 能 会 发 现在 您 每 次 
重新 启动 计算 机 时 ， 这 些 设 置 又 会 恢复 原状 。 

(3) 我 的 Web 浏览 器 含有 我 印象 中 没有 下 载 过 的 附加 组 件 。 间谍 软件 和 其 他 有 害 的 
软件 会 将 您 不 需要 的 附加 工具 栏 添加 至 Web 浏览 器 。 即 使 您 知道 如 何 删除 这 些 工 具 栏 ， 在 
您 重新 启动 计算 机 时 它们 也 会 恢复 原状 。 

(4) 我 的 计算 机 的 速度 似乎 很 慢 。 间谍 软件 和 其 他 有 害 的 软件 不 一 定 是 高 效 的 软件 。 
这 些 程序 会 使 用 资源 跟踪 您 的 活动 和 弹出 广告 ， 从 而 降低 计算 机 运行 速度 ， 而 且 软 件 的 错 
误 可 能 会 使 计算 机 崩溃 。 如 果 您 发 现 某 种 程序 崩溃 的 次 数 突然 增加 , 或 者 如 果 您 的 计算 机 
在 执行 常规 任务 时 慢 于 正常 速度 ， 您 的 机 器 上 就 可 能 存在 间谍 软件 或 其 他 有 害 的 软件 。 

3. 如 何 除去 间谍 软件 

各 种 各 样 有 害 的 软件 (如 间谍 软件 ) 都 被 设计 成 很 难 删除 。 如 果 您 尝试 像 邱 载 任何 其 


ss 


本 
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他 程序 一 样 卸 载 这 种 软件 ， 您 可 能 会 发 现在 重新 启动 计算 机 后 这 种 程序 会 马上 重新 出 现 。 
如 果 您 在 和 卸载 有 害 的 软件 方面 有 困难 , 您 可 能 需要 下 载 一 个 工具 帮助 您 卸载 。 几 个 公司 提 
供 免费 且 低 成 本 的 软件 ， 这 些 软件 会 在 您 的 计算 机 上 检查 间谍 软件 和 其 他 有 害 的 软件 并 帮 
助 您 删除 它们 。 

一 些 Internet 服务 提供 商 (ISP) 在 其 服务 包 里 包含 有 防 间 谍 软 件 的 软件 。 与 您 的 ISP 
协商 , 看 他 们 是 否 可 以 建议 或 提供 工具 。 如 果 您 的 ISP 没有 提供 间谍 软件 和 其 他 有 害 软件 
的 删除 工具 ， 您 可 以 请 求 您 信任 的 人 建立 一 个 工具 或 参见 下 面 列 出 的 几 个 著名 的 工具 。 切 
记 使 用 这 些 工具 删除 有 害 的 软件 可 能 意味 着 您 不 再 能 够 使 用 其 携带 的 免费 程序 。 

要 删除 间谍 软件 ， 请 执行 以 下 操作 。 

(1) 下 载 新 的 Microsoft Windows AntiSpyware 或 者 其 他 的 间谍 软件 删除 工具 。 
(2) 运行 该 工具 扫描 计算 机 以 查找 间谍 软件 和 其 他 有 害 的 软件 。 

(3) 在 该 工具 发 现 的 所 有 文件 中 检查 间谍 软件 和 其 他 有 害 的 软件 。 

(4) 按照 该 工具 的 说 明 选 择 要 删除 的 可 疑 文 件 。 

4. 如何 防止 间谍 软件 

间谍 软件 和 其 他 有 害 的 软件 会 侵犯 您 的 隐私 、 连 珠 炮 似 的 弹出 窗口 、 使 计算 机 变 慢 其 
至 月 溃 。 以 下 是 几 种 帮助 您 防止 计算 机 受 间 谍 软 件 及 其 他 有 害 软件 侵入 的 方法 。 

(1) 更 新 软件 

如 果 您 使 用 Windows XP， 您 可 以 通过 确保 所 有 软件 都 已 更 新 来 帮助 防止 间谍 软件 和 
其 他 有 害 软件 的 侵入 。 首 先 ， 访 问 Microsoft Update 确认 “自动 更 新 ”已 打开 ， 并 且 已 经 下 
载 了 所 有 最 新 的 关键 性 安全 更 新 。 

(2) 调整 您 的 Internet Explorer Web 浏览 器 的 安全 设置 。 

您 可 以 调整 Web 浏览 器 的 安全 设置 ， 以 便 确 定 您 愿意 从 Web 站 点 接受 的 信息 量 。 

如 果 您 运行 Windows XP SP2 并 且 使 用 Intemet Explorer 浏览 Web, 您 的 浏览 器 已 经 
设置 为 防止 间谍 软件 和 各 种 各 样 的 欺骗 性 或 有 害 的 软件 。 

要 查看 当前 的 Intemet Explorer 安全 设置 ， 请 执行 以 下 操作 : 

在 Intemet Explorer 中 ， 单 击 “ 工 具 ” 按 钮 ， 然 后 单 击 Intemet 选项 ， 选 择 “ 安 全 ” 
选项 卡 。 

(3) 使 用 防火 墙 

尽管 大 多 数 间谍 软件 、 有 害 的 软件 和 其 他 程序 捆绑 在 一 起 或 来 自 不 择 手 段 的 Web 站 
点 , 但 是 实际 上 有 一 小 部 分 可 能 是 黑客 远程 发 送 到 您 的 计算 机 上 的 间谍 软件 。 安装 防火 墙 
或 使 用 Windows XP 内 置 的 防火 墙 可 有 效 防 范 黑客 。 

(4) 更 安全 地 上 网 和 下 载 

抵御 间谍 软件 和 其 他 有 害 软件 的 最 好 办 法 是 先 不 要 下 载 它 。 以 下 几 个 提示 可 以 帮助 您 
免 于 下 载 不 需要 的 软件 : 

@ 仅 从 您 信任 的 Web 站 点 下 载 程序 。 

@ 阅读 与 下 载 的 软件 有 关 的 所 有 安全 警告 、 许 可 协议 和 隐私 声明 。 

@ 切 勿 通过 单 击 “ 同 意 ” 或 “确定 ”按钮 来 关闭 窗口 。 总 是 使 用 右上 角 红 色 的 “X”。 

e@ 谨防 流行 的 “免费 ”音乐 和 电影 文件 共享 程序 ， 确 信 自己 更 清楚 地 了 解 这 些 程序 所 

包含 的 所 有 软件 。 
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(5) 在 计算 机 上 安装 防止 间谍 软件 的 应 用 程序 时 常 监察 及 清除 电脑 的 间谍 软件 ， 以 
阻止 软件 对 外 进行 未 经 许可 的 通信 。 

5. 反 间 谍 软 件 举例 

反 间 谍 软 件 是 防止 间谍 软件 的 最 简单 、 最 有 效 的 方式 ， 在 此 以 微软 的 反 间谍 软件 
GIANT AntiSpyware 为 例 ， 说 明 如 何 使 用 反 间 谍 软 件 。 

(1) 选择 “开始 ”|“ 程 序 ”| GIANT AntiSpyware | GIANT AntiSpyware 命令 ， 出 现 
GIANT AntiSpyware 窗口 ， 如 图 5-62 所 示 。 
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(2) 单 击 窗口 右边 的 Spyware Scan 按钮 ， 进 入 扫描 间谍 软件 窗口 ， 如 图 5-63 所 示 。 
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图 5-63 ”扫描 间谍 软件 窗口 


(3) 单 击 窗口 左边 的 Run Scan Now 按钮 ， 软 件 开始 扫描 系统 中 是 否 存 在 间谍 软件 ， 
发 现 可 疑 程序 会 自动 列 在 窗口 中 ， 如 图 5-64 所 示 。 
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图 5-64 正在 扫描 间谍 软件 


(4) 扫描 完成 的 时 候 ， 出 现 一 个 扫描 结果 概要 信息 的 窗口 ， 如 图 5-65 所 示 。 
(5) 单 击 View Results 按钮 ， 查 看 扫描 结果 信息 ， 如 图 5-66 所 示 。 
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| 
图 5-65 ”扫描 结果 概要 信息 窗口 图 5-66 扫描 结果 信息 窗口 
(6) 窗口 左边 列表 显示 了 扫描 过 程 中 发 现 的 可 疑 程序 , 通过 改变 列表 项 前 面 的 下 拉 列 
表 框 中 的 设置 ， 可 以 对 该 程序 设置 为 删除 、 隔 离 、 忽 略 以 及 总 是 忽略 。 设 置 完 成 后 ， 单 击 
Continue 按钮 ， 出 现 提示 是 否 确 定 要 使 配置 生效 ， 如 图 5-67 所 示 。 
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图 5-67 确认 配置 生效 对 话 框 
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(7) 单 击 Yes 按钮 ， 程 序 将 按照 刚才 的 配置 对 扫描 到 的 间谍 软件 进行 处 理 ， 这 样 一 次 
完整 的 间谍 软件 扫描 处 理 过 程 就 完成 了 。 


5.2 ”数据 安全 


前 面 我 们 对 硬件 安全 、 软 件 安全 进行 了 探讨 ， 这 里 我 们 针对 计算 机 数据 安全 的 相关 内 
容 进 行 探讨 。 数 据 可 以 说 是 我 们 最 关心 的 内 容 ， 比 如 我 们 做 的 财务 报表 、 项 目 规划 、 产 品 
说 明 、 市 场 报告 等 。 


5.2.1 文件 管理 


计算 机 上 几乎 所 有 的 信息 都 是 以 文件 的 形式 来 存储 和 管理 的 ， 所 以 确保 计算 机 上 文件 
的 安全 管理 具有 至 关 重 要 的 意义 。 总 的 来 说 ， 文 件 分 为 两 种 ， 一 种 是 系统 文件 ;一 种 是 数 
据 文 件 。 这 里 我 们 主要 关心 的 是 数据 文件 ， 因 为 其 中 包含 着 我 们 所 关心 的 数据 信息 。 

1. 家 庭 中 的 文件 管理 

在 多 数 家 庭 中 计算 机 存在 的 情况 ， 一 种 情况 是 家 庭 成 员 共 同 使 用 ， 另 一 种 情况 是 家 是 
来 的 朋友 也 可 能 使 用 我 们 的 计算 机 。 

(1) 误 删 除 或 误 移动 文件 

有 时 我 们 会 发 现 自己 存储 在 某 个 位 置 的 文件 找 不 到 了 ， 也 不 知道 是 什么 时 候 丢 失 的 
这 时 候 我 们 很 可 能 去 问 家 庭 中 使 用 过 该 计算 机 的 每 个 人 ， 是 否 删 除了 自己 的 文件 ， 如 果 只 
是 另外 的 一 两 个 人 用 过 还 好 ， 如 果 有 多 个 人 使 用 过 ， 而 且 有 些 朋友 也 使 用 过 ， 使 用 完了 就 
离开 了 ， 我 们 这 时 也 不 好 意思 再 去 找 朋 友 来 问 了 。 可 是 自己 的 文件 丢失 又 特别 着 急 ， 这 可 
真是 有 苦难 言 啊 。 

出 现 上 述 情况 的 主要 原因 是 使 用 计算 机 的 操作 人 员 对 计算 机 的 熟悉 程度 差别 可 能 比较 
大 ， 从 而 导致 容易 误 操 作 ， 比 如 一 不 小 心 将 一 个 文件 或 者 文件 夹 拖 到 别 的 文件 中 ， 自 己 可 
能 还 没有 注意 到 ， 也 可 能 注意 到 了 ， 但 不 知道 怎样 还 原 ， 也 有 可 能 是 一 不 小 心 删除 了 ， 对 
不 熟悉 计算 机 操作 的 人 员 ， 除 非 是 故意 删除 的 ， 否 则 多 数 情况 下 是 删除 到 回收 站 的 。 解 决 
的 方法 是 将 计算 机 设置 多 个 用 户 ， 不 同 的 人 使 用 时 使 用 不 同 的 用 户 名 登录 ， 同 时 对 计算 机 
上 的 文件 操作 情况 进行 监视 ， 记 录 操 作用 户 名 、 操 作 时 间 、 操 作 类 型 、 操 作 程序 、 操 作 原 
始 文件 、 操 作 目 标 文件 等 信息 ， 当 出 现 问 题 的 时 候 ， 只 需要 在 记录 的 日 志 信息 中 就 可 以 很 
容易 查询 到 对 具体 文件 的 变动 信息 ， 再 也 不 用 一 个 一 个 去 问 使 用 过 计算 机 的 人 。 

(2) 隐私 信息 被 别人 查看 

每 个 人 总 是 有 一 些 自己 的 私人 信息 是 不 希望 别人 看 到 的 。 当 然 还 有 些 信息 是 容许 一 些 
人 看 ， 而 不 方便 另外 一 些 人 看 的 ， 比 如 自己 家 里 的 财务 情况 ， 爱 人 可 以 看 ， 但 是 朋友 就 不 
方便 了 。 对 这 些 敏 感 信息 的 有 效 管理 也 是 很 有 必要 的 。 

针对 这 种 情况 ， 我 们 需要 做 的 就 是 将 敏感 信息 文件 保护 起 来 ， 比 如 隐藏 起 来 ， 让 其 他 
的 人 员 使 用 计算 机 时 看 不 到 我 们 的 私人 文件 ， 同 时 禁止 其 他 人 对 我 们 的 文件 进行 查看 、 修 
改 、 删 除 、 改 名 等 操作 ， 这 样 既 保 护 我 们 的 隐私 信息 ， 也 保护 我 们 的 隐私 文件 。 这 时 我 们 
需要 的 是 对 文件 的 访问 控制 。 


喇 
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2. 企业 中 的 文件 管理 

企业 中 的 重要 文件 资料 的 重要 性 就 更 大 了 ， 比 如 产品 研发 资料 、 项 目 文件 、 财 务 报表 、 
市 场 规划 等 ， 保 护 好 这 些 资料 的 安全 ， 对 企业 的 正常 经 营 发 展 具 有 重要 意义 。 

(1) 员工 计算 机 上 的 文件 管理 

对 员工 计算 机 上 的 文件 进行 管理 ， 有 利于 防止 员工 将 企业 内 部 重要 的 信息 资料 非法 复 
制 或 者 外 传 到 企业 外 部 ， 造 成 公司 的 信息 泄密 ， 给 企业 带 来 经 济 损失 和 其 他 相关 损失 。 近 
年 来 ， 企 业内 部 人 员 泄 密 的 事件 层出不穷 ， 这 与 企业 内 部 对 员工 的 管理 不 到 位 有 很 大 的 关 
系 ， 特 别 是 对 计算 机 上 的 文件 管理 。 

对 员工 计算 机 上 的 文件 操作 实行 两 个 方面 的 管理 : 一 方面 将 员工 对 文件 操作 的 情况 进 
行 记录 并 上 传 到 指定 的 服务 器 进行 统一 管理 ; 另 一 方面 严格 控制 员工 将 内 部 文件 通过 亲 盘 、 
移动 硬盘 以 及 数码 相机 等 外 部 设备 将 企业 内 部 的 文件 复制 并 带 出 企业 。 

具体 来 讲 ， 记 录 员 工 计 算 机 上 文件 操作 ， 记 录 的 项 目 包括 操作 用 户 名 、 操 作 时 间 、 操 
作 类 型 、 操 作 程序 、 操 作 原 始 文 件 、 操 作 目标 文件 等 信息 ， 以 备 在 必要 的 时 候 检 查 ， 对 非 
常 重要 的 文件 ， 还 可 以 选择 操作 前 备份 文件 内 容 ， 比 如 删除 计算 机 上 的 重要 信息 ， 或 者 删 
除 网 络 上 其 他 计算 机 的 文件 资料 。 

在 控制 方面 ， 提 供 对 其 他 计算 机 上 的 文件 只 读 访问 、 禁 止 访问 和 完全 访问 选项 设置 ， 
提供 对 移动 存储 设备 文件 的 只 读 访 问 、 禁 止 访问 和 完全 访问 的 选项 设置 。 有 效 防止 员工 非 
法 利用 其 他 计算 机 或 者 移动 硬盘 等 非法 将 文件 复制 带 出 企业 。 

(2) 文件 服务 器 管理 

对 服务 器 上 的 文件 按照 目录 分 配给 相关 人 员 对 应 的 权限 ， 主 要 包括 读 取 、 写 入 和 完全 
控制 三 种 ， 禁 止 没有 权限 的 人 员 对 服务 器 上 的 任何 文件 进行 访问 ， 除 此 之 外 ， 在 服务 器 端 
保留 详细 的 操作 记录 ， 当 出 现 重 要 的 文件 资料 丢失 时 ， 可 以 及 时 通过 操作 记录 查 出 是 什么 
时 间 、 什 么 人 对 文件 进行 什么 样 的 操作 造成 的 ， 是 被 删除 还 是 改名 ， 或 者 是 移动 ， 及 时 找 
出 问题 的 原因 ， 为 及 时 采取 措施 防范 同样 的 问题 再 次 出 现 提供 依据 。 特 别 是 在 对 文件 操作 
发 生 争议 时 ， 可 以 通过 对 访问 日 志 来 确认 究竟 是 谁 的 责任 。 


5.2.2 ”接口 管理 


现在 的 计算 机 为 了 使 用 上 的 方便 ， 提 供 了 多 种 外 设 接口 ， 比 如 USB 存储 设备 接口 、 
USB 打印 机 等 。 在 企业 中 ， 为 了 防止 有 人 利用 这 些 接口 非法 将 文件 资料 传递 出 去 ， 在 不 影 
响 正 常 工 作 的 前 提 下 ， 应 该 对 这 些 外 设 接口 进行 合理 的 监控 和 管理 。 

1. 家 庭 中 的 接口 管理 

家 庭 中 计算 机 的 用 处 主要 在 两 个 方面 : 一 方面 为 工作 上 的 方便 ; 另 一 方面 是 娱乐 所 用 。 
不 管 是 哪个 方面 的 使 用 都 需要 有 合理 的 管理 ， 特 别 是 对 家 庭 中 有 小 孩 的 情况 ， 既 要 让 小 孩 
通过 计算 机 学 习 到 更 多 的 知识 ， 同 时 也 要 给 小 孩 以 正确 的 指导 ， 以 避免 其 误 入 歧途 或 者 给 
计算 机 的 安全 带 来 威胁 。 

比如 对 光驱 的 管理 ， 防 止 小 孩 随意 将 从 外 面 带 回 的 光盘 放 入 光驱 中 ， 因 为 这 有 可 能 引 
入 病毒 ， 另 外 还 有 可 能 将 游戏 、 电 影 等 文件 复制 到 计算 机 上 ， 然 后 在 游戏 或 者 看 电影 上 花 
费 太 长 的 时 间 ， 以 至 于 影响 了 学 习 。 对 USB 接口 的 管理 也 是 出 于 同样 的 目的 。 对 上 网 的 管 
理 可 以 防止 孩子 沉溺 于 网 络 中 ， 影响 学 习 以 及 孩子 的 身心 健康 。 总 之 ,根据 各 种 具体 情况 ， 
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对 计算 机 的 各 种 外 设 接口 进行 合理 管理 ， 有 利于 孩子 通过 计算 机 学 习 知 识 、 适 当 的 娱乐 ， 
并 且 还 有 利于 防止 计算 机 影响 孩子 的 学 习 和 生活 。 

2. 企业 中 的 接口 管理 

随 着 计算 机 的 大 量 普及 和 应 用 ， 绝 大 多 数 企业 都 实现 了 在 计算 机 网 络 上 办 公 。 所 以 几 
乎 所 有 的 重要 信息 资料 都 以 电子 形式 存放 在 计算 机 上 ， 保 护 好 这 些 重 要 的 文件 资料 ， 避 免 
其 泄密 甚至 流 到 竞争 对 手 那里 ， 对 企业 有 着重 要 意义 。 

计算 机 上 的 资料 有 一 个 重要 特点 就 是 容易 复制 。 所 以 对 每 个 员工 的 计算 机 上 的 外 设 接 
口 进行 管理 ， 防 止 有 人 私自 利用 外 设 接口 将 企业 内 部 的 重要 文件 资料 复制 到 企业 外 部 是 非 
常 重要 的 。 下 面 简 述 基本 的 管理 流程 。 

(1) 在 通常 情况 下 ， 设 定员 工 计算 机 外 设 的 初始 状态 为 禁止 使 用 ， 计 算 机 外 设 包 括 串 
口 、 并 口 、USB 接口 、USB 存储 器 、 光 驱 、 软 驱 〈 或 者 刻录 机 ) 、Modem、 打 印 机 、 红 外 
接口 、1394 接口 、 网 卡 等 。 

(2) 当 员 工 计 算 机 因为 工作 需要 使 用 外 设 接口 的 时 候 ， 可 以 要 求 员 工 提供 使 用 外 设 接 
口 的 时 间 、 原 因 、 申 请 人 、 批 准 人 等 信息 ， 然 后 再 由 管理 人 员 ， 开 通 员工 计算 机 上 对 应 的 
外 设 接口 ， 并 将 申请 信息 和 批准 信息 形成 日 志 进行 保存 ， 方 便 在 适当 的 时 候 进行 审核 ， 使 
用 完成 后 由 管理 人 员 收 回 使 用 权限 。 

(3) 当 员 工 计算 机 上 的 设备 使 用 状态 ( 指 可 用 或 者 禁止 ) 发 生 改 变 的 时 候 ， 员 工 计算 
机 自动 向 管理 人 员 发 送 消 息 ， 并 指明 是 正常 的 状态 改变 还 是 非法 的 状态 改变 ， 服 务 器 端 以 
日 志 的 方式 记录 员工 计算 机 外 设 接口 使 用 状态 发 生变 化 的 时 间 以 及 当前 所 有 外 设 接口 的 使 
用 状态 ， 必 要 时 可 以 在 服务 器 端 进行 检查 和 审核 。 

(4) 通过 将 外 设 接口 的 有 效 管理 ， 有效 控制 内 部 重要 资料 外 泄 的 途径 ,保护 企业 的 重 
要 信息 的 安全 ， 同 时 详细 的 系统 日 志 对 于 及 时 发 现 信息 泄密 问题 、 及 时 采取 保护 措施 以 及 
后 续 信息 安全 工作 的 开展 和 改进 都 有 非常 重要 的 意义 。 


5.2.3 打印 管理 


打印 文件 几乎 在 所 有 的 企 事 业 单 位 都 广泛 存在 ， 虽 然 这 项 工作 非常 简单 ， 但 是 对 其 进 
行 合 理 有 效 的 管理 还 是 很 重要 的 。 

1. 打印 管理 的 重要 性 

对 企业 中 的 文件 打印 进行 管理 主要 是 出 于 两 个 目的 ， 一 个 是 为 了 节约 打印 资源 ， 防 止 
浪费 ， 另 一 个 是 保护 企业 信息 资料 安全 ， 防 止 打印 的 方式 泄密 。 不 管 是 出 于 哪个 目的 ， 对 
文件 打印 进行 管理 都 是 很 有 必要 的 。 

(1) 在 一 个 企业 中 , 如 果 对 打印 没有 任何 约束 和 管理 , 那么 对 打印 的 浪费 将 是 很 大 的 ， 
员工 可 能 利用 公司 的 打印 资源 打印 一 些 完全 与 工作 无 关 的 文件 ， 比 如 个 人 简历 、 个 人 邮件 
等 ， 有 的 甚至 用 公司 资源 打印 网 上 下 载 的 小 说 ， 动 辑 上 百 页 ， 其 造成 的 浪费 就 可 想 而 知 了 。 

(2) 更 重要 的 是 企业 中 的 一 些 敏 感 信息 ， 比 如 客户 名 单 、 核 心 技术 资料 、 市 场 规划 信 
息 等 ， 很 有 可 能 被 企业 内 部 人 员 打印 出 来 ， 带 出 企业 ， 甚 至 可 能 流 到 竞争 对 手 那 里 ， 将 对 
企业 造成 重大 的 经 济 损失 和 其 他 损失 ， 所 以 很 有 必要 对 企业 内 部 的 文件 打印 进行 管理 。 

2. 打印 管理 的 目标 

既然 打印 对 于 企业 的 正常 经 营 活动 是 一 项 必需 的 工作 ， 同 时 合理 有 效 的 管理 又 是 必 不 
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可 少 的 ， 那 么 我 们 应 该 怎样 来 对 打印 任务 进行 管理 呢 ， 下 面 提 出 一 些 基本 的 思路 来 解决 这 
个 问题 。 

(1) 保存 打印 内 容 

完整 保存 每 次 打印 任务 的 全 部 内 容 为 TIFF 图 像 格式 ， 并 可 以 设 定 分 辩 率 。 可 以 随时 
查看 打印 内 容 ， 这 样 可 以 非常 方便 查看 企业 内 部 所 有 打印 的 内 容 ， 既 能 有 效 防止 打印 资源 
的 浪费 ， 又 能 有 效 预防 通过 打印 文件 的 方式 泄露 企业 内 部 信息 。 

(2) 可 以 重新 打印 以 前 的 打印 任务 

完整 保存 每 次 打印 任务 的 文档 ， 在 必要 的 时 候 ， 可 以 以 Web 方式 命令 打印 机 重新 打印 
以 前 打印 的 文档 。 

(3) Web 界面 管理 

系统 管理 和 报表 查看 全 部 使 用 Web 界 面 ,在 任何 一 台 工 作 站 上 均 可 随时 管理 打印 资源 ， 
不 需 安装 任何 客户 端 程序 。 

系统 仅 需 安装 在 服务 器 上 ， 对 打印 客户 端 完全 透明 ， 对 用 户 打 印 没有 任何 影响 。 

(4) 集中 管理 、 集 中 认证 计 费 

任意 多 台 打 印 机 均 可 纳入 管理 ， 实 现 集中 管理 、 集 中 认证 计 费 ， 方 便 用 户 对 打印 资源 
的 集中 管理 和 成 本 控制 。 
灵活 的 监控 方式 ， 实 现 地 理 上 分 散 ， 逻 辑 上 集中 的 分 布 式 监控 方式 。 
多 个 管理 员 ， 可 以 分 担 系 统管 理 员 的 相关 工作 。 
多 个 角色 ， 不 同 的 管理 员 有 不 同 的 管理 角色 ， 便 拥有 不 同 的 管理 权限 。 
(5) 丰富 的 Web 报表 
在 任何 一 台 工 作 站 上 均 可 随时 查看 报表 ， 不 用 安装 任何 客户 端 程序 。 
多 种 预 设 的 报表 类 型 ， 从 使 用 情况 、 打 印 费用 、 打 印 负荷 等 多 方面 提供 图 文 并 茂 的 报 
及 时 方便 地 反映 出 打印 资源 的 情况 。 
自 定义 报表 功能 ， 提 供 最 大 程度 的 灵活 性 ， 方 便 用 户 获 得 重点 内 容 。 
支持 将 报表 导出 成 Excel 格式 。 
(6) 灵活 的 认证 计 费 模式 
按 用 户 名 或 计算 机 名 两 种 认证 模式 , 域 或 对 等 网 模式 的 局 域 网 都 可 以 得 到 很 好 的 支持 。 
支持 多 网 域 用 户 的 账号 导入 和 统一 计 费 认证 。 
支持 对 不 同 纸 张 类 型 、 彩 色 / 黑 白 、 单 面 / 双 面 的 打印 情况 ， 使 用 不 同 的 费 率 计 费 。 
支持 按照 年 、 季 、 月 、 周 、 日 、 固 定 值 或 不 限 设 置 用 户 打 印 配 额 。 
通过 对 企业 内 部 打印 任务 的 监控 和 管理 ， 能 够 有 效 地 看 出 企业 内 部 打印 资源 的 使 用 情 
况 ， 有 效 提高 企业 打印 资源 的 利用 率 ， 降 低 打印 资源 的 浪费 ， 防 止 企 业内 部 人 员 通 过 打印 
文件 方式 泄密 企业 内 部 重要 资料 。 


5.2.4 用 户 管理 


实际 生活 中 使 用 Windows 的 计算 机 用 户 , 大 多 避免 不 了 在 家 庭 或 办 公 室 与 别人 共用 计 
算 机 的 了 矛盾。 合理 地 对 计算 机 的 用 户 进行 配置 管理 ， 有 利于 保护 各 个 用 户 的 信息 资料 安全 ， 
让 每 个 用 户 都 像 独自 使 用 一 台 计 算 机 一 样 。 
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1. 多 用 户 的 特性 及 基本 设置 

由 于 计算 机 可 能 处 于 两 种 状态 下 : 一 种 是 加 入 到 某 个 域 中 ， 而 另 一 种 则 是 单独 使 用 或 
加 入 到 某 网 络 工作 组 ， 两 种 状态 下 多 用 户 的 特性 及 设置 有 些 不 同 ， 故 在 以 下 分 述 。 

(1) 加 入 工作 组 或 单独 计算 机 的 特性 及 多 用 户 配置 

这 种 情况 下 的 Windows XP 中 ， 默 认 情 况 下 采用 欢迎 屏幕 登录 方式 ， 而 且 安 装 系统 后 
默认 为 不 需 密码 点 击 账户 就 可 直接 进入 。 针 对 Windows NT/2000 多 用 户 环境 的 主要 缺陷 ， 
微软 在 新 系统 引入 了 共享 环境 中 用 户 间 快速 切换 的 技术 和 远程 计算 机 功能 。 在 加 入 工作 组 
或 单机 的 Windows XP 系统 中 ， 所 有 用 户 账号 都 被 设置 为 可 随时 登录 的 状态 。 换 言 之 ， 可 
以 同时 在 一 台 计 算 机 上 打开 多 个 账号 并 在 已 经 打开 的 账号 之 间 进 行 快速 切换 。 而 这 一 切 只 
需要 单 击 “ 注 销 ”|“ 切 换 用 户 ” 即 可 。 

在 基本 了 解 Windows XP 多 用 户 功能 的 特点 后 ， 不 妨 来 看 看 多 用 户 环境 的 基本 设置 和 
操作 。 熟 悉 Windows NT/2000 的 用 户 都 知道 ， 系 统 的 安全 建立 在 给 不 同 用 户 分 配 不 同 权 限 
的 基础 之 上 。 而 在 此 基础 上 ， 更 进一步 使 用 NTFS 文件 系统 可 通过 设置 文件 夹 的 安全 选项 
来 限制 受 限 用 户 对 文件 夹 的 访问 ， 所 以 要 实现 真正 意义 上 的 安全 权限 控制 ， 文 件 所 在 分 区 
必须 采用 NTFS 文件 系统 格式 ， 否 则 多 用 户 之 间 的 文件 安全 保密 就 是 一 句 空话 了 。 所 以 ， 
除非 特别 提出 ， 下 文 均 是 以 一 台 硬 盘 全 部 划 为 NTFS 文件 系统 ， 装 有 Windows XP 
Professional 中 文 版 的 计算 机 为 例 进行 说 明 。 

安装 Windows XP 的 过 程 中 需要 设置 登录 密码 , 会 发 现 这 个 密码 在 安装 完 系 统 后 根本 
就 用 不 上 ， 因 为 系统 安装 后 第 一 次 启动 会 马上 要 求 你 创建 至 少 一 个 新 账户 ， 第 一 个 新 账 
户 默认 为 计算 机 管理 员 ， 而 接 下 来 进入 系统 后 就 是 使 用 新 创建 的 账户 登录 了 。 所 以 虽然 
以 后 的 Windows XP 正常 登录 界面 中 不 会 出 现 Administrator 这 个 账户 ， 但 实际 上 这 个 账 
户 是 存在 的 ， 你 只 要 在 启动 时 按 F8 键 选择 从 安全 模式 启动 就 可 以 看 到 。 尽 管 不 明白 为 什 
么 微软 要 把 这 个 账户 隐藏 起 来 ， 但 很 明显 ， 要 安全 使 用 多 用 户 环 境 ， 那 么 计算 机 的 管理 
者 首先 就 应 注意 这 一 账户 。 不 少 用 户 在 安装 系统 时 会 习惯 性 地 略 过 输入 密码 这 一 步 ， 所 
以 不 要 因 一 时 疏忽 而 留 下 系统 安全 漏洞 。 当 然 也 有 补救 方案 ， 就 是 以 安全 模式 登录 将 
Administrator 账户 的 密码 修改 或 干脆 删除 这 个 账户 。 这 样 处 理 以 后 ， 就 可 以 真正 保证 计算 
机 管理 员 的 权限 安全 性 。 

Windows XP 多 用 户 功 能 的 基本 设置 都 可 以 通过 “控制 面板 ”中 的 “用 户 账户 ”项 目 完 
成 。 通 常 来 说 刚 安 装 好 的 Windows XP 系统 会 至 少 建立 一 个 有 计算 机 管理 员 权限 的 账号 和 
尚未 启用 的 Guest( 客 人 ) 账号 ， 例 如 笔者 手 上 这 台 机 器 ， 就 有 一 个 名 为 4usoft-lmw 的 计 
算 机 管理 员 账 号 和 一 个 未 启用 的 Guest 账号 。 上 文 曾经 提 到 Windows XP 默认 账户 是 没有 
密码 的 ,所 以 在 登录 画面 单 击 就 可 以 进入 (如 果 只 有 一 个 账号 , Windows XP 就 会 自动 登录 )， 
所 以 我 们 首先 就 要 为 账户 添加 密码 ， 具 体操 作 方法 如 下 。 

@ 选择 “开始 ” |“ 设置 ” |“ 控制 面板 ”命令 ， 出 现 “控制 面板 ”窗口 ， 如 图 5-68 
所 示 。 

@ 选择 “用 户 管理 ”， 双 击 打开 “用 户 管理 ”对 话 框 ， 如 图 5-69 所 示 。 

图 选择 新 创建 的 用 户 账户 “4usoft-Imw”， 出 现 选择 对 账户 操作 的 选择 ， 如 图 5-70 
所 示 。 
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5-68 ”控制 面板 窗口 
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图 5-70 选择 账户 操作 窗口 
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@ 单 击 “ 创 建 密码 ”， 可 以 为 “4usoftlmw” 账 户 设置 密码 ， 设 置 密码 窗口 如 图 5-71 
所 示 。 


四 上 上 加 名 址 
了 得 下 
eee。 为 您 的 帐户 创建 一 个 密码 
国 正在 创 肤 一 个 好 的 密码 提 输入 一 个 新 密码 : 

i ELITEZIIIIILI 


再 次 输 入 密码 bj 
CEEEEEEDI 

如果 悠 的 密码 包 合 大 写字 母 ， 悠 必须 在 每 次 登录 时 用 同样 的 方式 输入 - 
输入 一 个 单词 或 短语 作为 富 码 提示 


所 有 使 用 这 各 计算 机 的 人 都 可 以 看 见 密码 提示 。 


Ces] wl 


图 5-71 设置 密码 窗口 

@ 设置 完 密码 以 后 ， 单 击 “ 创 建 密码 ”按钮 ， 密 码 就 设置 完成 了 。 

由 于 Windows XP 的 控制 面板 采用 向 导 式 分 类 视图 风格 ， 用 户 设置 使 用 起 来 非常 简单 
方便 ， 所 以 你 不 用 学 习 都 可 轻易 在 这 里 完成 所 有 的 用 户 管理 操作 。 

值得 注意 的 设置 是 ，WinXP 拥有 两 种 方法 登录 计算 机 ， 默 认 的 是 “欢迎 屏幕 ”这 种 快 
而 简单 的 登录 方法 ， 只 需 单 击 账号 并 输入 密码 (如 果 有 的 话 ) 就 可 登录 ， 这 也 是 Win9X 系 
列 用 户 的 习惯 方式 ， 但 WinXP 还 是 保留 了 Windows NT/2000 系列 的 “传统 登录 提示 ”的 
方式 ， 它 要 求 输入 用 户 名 和 密码 ， 更 加 安全 。 显 然 ， 如 果 你 是 一 家 人 共用 机 器 ， 用 “欢迎 
屏幕 ”方式 登录 更 方便 ， 但 如 果 是 在 办 公 室 等 公共 场合 共用 机 器 ， 还 是 设置 为 “传统 登录 
提示 ”的 方式 更 为 妥当 。 

更 改 登录 方法 只 要 单 击 “ 用 户 账户 ”窗口 的 “更 改 用 户 登 录 或 注销 的 方式 ”在 设置 页 
面 上 把 相应 选项 选中 即 可 ， 如 图 5-69 所 示 ， 注 意 这 里 还 可 以 禁止 “用 户 快速 切换 ”功能 ， 
其 需要 禁止 原因 和 登录 方式 的 切换 也 是 一 样 的 ， 即 “ 安 全 ”。 所 以 要 结合 自己 共用 计算 机 
的 具体 环境 来 灵活 设置 登录 方式 和 “用 户 快速 切换 ”功能 。 

Windows XP 的 Administrator 账户 默认 模式 下 无 法 看 到 ， 也 无 法 登录 这 个 账号 。 不 过 
你 可 以 采用 “传统 登录 提示 ”方式 手动 输入 Administrator 登录 。 那 有 没有 办 法 在 “欢迎 
屏幕 ”方式 下 以 此 账户 登录 呢 ? 答案 是 肯定 的 。 打开 注册 表 编 辑 器 , 找到 HKEY LOCAL _ 
MACHINE\SOFTWARE\Microsoft\Windows\NTCurrentVersion\Winlogon\SpecialAccounts, 
打开 次 级 主键 UserList (如果 没 有 可 自己 建立 ) ， 在 右边 新 建 Dword 值 ， 命 名 为 
Administrator， 然 后 修改 键 值 为 1 即 可 。 重 新 启动 机 器 ，“ 欢 迎 屏幕 ”方式 上 就 出 现 了 
Administrator 账户 。 

(2)〉 加 入 域 的 计算 机 特性 及 多 用 户 配 置 
加 入 域 的 计算 机 会 受到 域 策 略 的 影响 。 与 工作 组 或 单独 计算 机 相 比 ， 系 统 不 具备 快速 
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切换 用 户 的 功能 ， 而 且 只 能 以 “传统 登录 提示 ”的 方式 登录 ， 上 面 讲 了 ， 这 样 设计 能 有 更 
高 的 安全 性 。 同 时 如 果 计 算 机 加 入 了 域 ， 控 制 面板 中 “用 户 账户 ”的 设置 界面 也 会 稍 有 不 
同 ， 更 接近 于 Windows NT/2000 中 的 设置 。 因 为 大 多 数 用 户 都 是 在 工作 组 或 单独 计算 机 上 
工作 ， 此 外 域 中 计算 机 的 用 户 设置 也 同样 简单 ， 这 里 就 不 详 述 了 。 
2. Windows XP 各 类 用 户 的 权限 
要 对 用 户 管理 作出 合理 的 设置 ， 仅 了 解 Windows XP 多 用 户 的 特点 和 基本 管理 设置 显然 
不 够 ,我 们 必须 要 对 用 户 管理 机 制 做 更 多 的 了 解 。 而 由 于 Windows XP 采用 Windows NT/2000 
内 核 的 用 户 管理 安全 机 制 ， 这 种 安全 机 制 建 立 在 用 户 权 限 的 分 配 上 ， 所 以 不 妨 来 复习 一 下 
Windows 2000 的 用 户 分 类 及 相应 权限 。 
Windows 2000 中 的 用 户 分 为 3 类。 
第 1 类 是 标准 用 户 : 该 用 户 可 修改 大 部 分 计算 机 设置 ， 安 装 不 修改 操作 系统 文件 且 不 
需 安装 系统 服务 的 应 用 程序 ， 创 建 和 管理 本 地 用 户 账户 和 组 ， 启 动 或 停止 默认 情况 下 不 启 
动 的 服务 等 ， 但 不 可 访问 NTFS 分 区 上 属于 其 他 用 户 的 私有 文件 。 
第 2 类 是 受 限 用 户 : 该 用 户 可 操作 计算 机 并 保存 文档 ， 但 不 可 以 安装 程序 或 进行 可 能 
对 系统 文件 和 设置 有 潜在 破坏 性 的 任何 更 改 。 
第 3 类 是 其 他 用 户 ， 又 可 分 为 6 种 : 
(1) Administrator( 系统 管理 员 ) 一 有 对 计算 机 / 域 的 完全 访问 控制 权 ; 
(2) Backup Operator (备份 操作 员 ) 可 以 备份 和 还 原 计 算 机 上 的 文件 ， 而 不 论 这 
些 文件 的 权限 如 何 ; 还 可 登录 到 计算 机 和 关闭 计算 机 ， 但 不 能 更 改 安全 性 设置 ; 
(3) Guest (客人 ) 一 一 权限 同 受 限 用 户 ; 
(4) Power User〈 高 级 用 户 ) 一 一 权限 同 标准 用 户 ; 
(5) Replicator (复制 员 ) 一 一 权限 是 在 域内 复制 文件 ; 
(6) User (普通 用户 ) 一 一 权限 同 受 限 用 户 。 
在 Windows XP 中 。 用 户 分 类 、 权 限 其 实 和 Windows 2000 基本 一 样 ， 你 同样 也 可 以 利 
用 用 户 的 分 类 来 保护 计算 机 在 多 用 户 环境 下 的 安全 。 以 工作 组 或 单独 计算 机 为 例 ， 在 默认 
情况 下 ， 使 用 Windows XP 只 能 够 创建 2 种 类 型 的 用 户 : 计算 机 管理 员 (Administrator) 和 
受 限 用 户 (User) ， 似 乎 管理 的 灵活 和 方便 远 不 如 Windows 2000。 其 实 WinXP 只 是 将 其 
他 用 户 类 型 隐藏 起 来 了 ， 我 们 还 是 可 以 在 控制 面板 里 创建 。 这 里 提供 2 种 简单 的 方法 ， 以 
下 以 创建 Power User 账户 为 例 ， 其 余 账 户 类 型 的 创建 类 似 。 
具体 操作 方法 如 下 。 
(1) 选择 “开始 ”|“ 设 置 ”|“ 控 制 面板 ”命令 ， 出 现 “ 控 制 面板 窗口 ”窗口 ， 如 图 
5-68 所 示 。 
(2) 选择 “用 户 账户 ”， 双 击 打 开 “ 用 户 账户 ”对 话 框 ， 如 图 5-69 所 示 。 
(3) 单 击 “ 创 建 一 个 新 账户 ”， 出 现 创建 账户 窗口 ， 如 图 5-72 所 示 。 
(4) 在 输入 账户 名 称 后 单 击 “ 下 一 步 ”按钮 ， 出 现 为 新 创建 的 用 户 设置 属性 ， 如 图 
5-73 所 示 。 
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为 新 帐户 起 名 


图 5-72 ”创建 账户 窗口 图 5-73 ”设置 创建 用 户 属性 

(5) 设置 用 户 属性 为 “ 受 限 ”， 然 后 单 击 “ 创 建 用 户 ” 按 钮 ， 新 用 户 的 创建 工作 就 完 
成 了 。 

(6) 选择 “开始 ” |“ 设置 ”|“ 控 制 面 板 ” 命 令 ， 出 现 “控制 面板 ”窗口 ， 如 图 5-68 
所 示 。 

(7) 选择 “控制 面板 ”窗口 中 的 “管理 工具 ”并 双击 ， 出 现 “管理 工具 ”窗口 ， 如 
5-74 所 示 。 

(8) 在 “管理 工具 ”窗口 中 双击 “计算 机 管理 ”， 出 现 “计算 机 管理 ”窗口 ， 如 
5-75 所 示 。 


ET TT Es ee Er = 
5 
[3] +*+|| 面 从 区 | 名 


| ji 
图 5-74 管理 工具 窗口 图 5-75 计算 机 管理 窗口 

(9) 选择 “计算 机 管理 〈 本 地 ) ”|“ 系 统 工具 ”|“ 本 地 用 户 和 组 ”|“ 用 户 ” 命 令 ， 
再 在 右边 窗口 双击 刚 新 建 的 账户 4usoft_test， 出 现 账 户 属性 窗口 ， 如 图 5-76 所 示 。 

(10) 选择 “隶属 于 ”选项 卡 ， 选 择 “ 隶 属于 ”列表 中 的 “Users”， 单 击 “ 删 除 ” 
按钮 ， 将 “Users” 删 除 ， 然 后 单 击 “ 添 加 ”按钮 ， 出 现 “选择 组 ”对 话 框 ， 如 图 5-77 
所 示 。 

(11) 在 “输入 对 象 名 称 来 选择 ”文本 框 中 输入 Power Users， 单 击 “ 检 查 名 称 ” 按 钮 ， 
以 确认 输入 正确 无 误 ， 最 后 单 击 “ 确 定 ” 按 钮 ， 用 户 的 属性 设置 就 完成 了 ， 即 4usoft test 
就 是 Power Users 组 的 成 员 了 。 

可 以 通过 “计算 机 管理 ”窗口 来 完成 添加 用 户 并 设置 其 属性 ， 其 操作 比较 简单 ， 在 这 
里 不 再 介绍 ， 留 给 读者 作为 练习 来 完成 。 


有 
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图 5-76 账户 属性 窗口 图 5-77 选择 用 户 组 对 话 框 

这 样 在 了 解 各 类 用 户 账户 及 其 相应 权限 后 ， 就 可 以 在 实际 应 用 中 对 用 户 作 相 应 分 类 ， 
并 给 予 相应 权限 ， 以 保证 各 用 户 相互 间 的 安全 保密 性 和 整个 系统 的 安全 保密 性 。 最 后 ， 在 
进入 实际 设置 前 ， 如 果 你 查看 过 Windows XP 的 帮助 中 心 ， 肯 定 就 会 发 现 Windows XP 的 
用 户 账户 管理 说 明 实际 上 分 为 单机 多 用 户 和 网 络 多 用 户 两 种 形式 ， 下 文 将 分 别 说 明 这 两 种 
形式 下 的 多 用 户 应 用 。 

3. 单机 多 用 户 的 权限 分 配 

假设 有 一 家 3 个 人 共享 1 台 计算 机 一 一 精通 计算 机 应 用 的 爸爸 、 不 关心 计算 机 技术 的 
妈妈 和 10 岁 左 右 的 儿子 。 

那么 相应 用 户 权限 分 配 可 设置 如 下 : 爸爸 是 计算 机 管理 员 ， 出 于 安全 的 考虑 ， 平 常 的 
计算 机 使 用 中 不 应 使 用 管理 员 身 份 登录 , 爸爸 为 自己 分 配 了 一 个 Power User 或 User 类 型 账 
户 , 而 妈妈 和 儿子 分 别 拥 有 自己 的 User 账户 。 此 时 系统 为 不 同 的 用 户 建立 了 不 同 用 户 文件 
夹 及 配置 文件 (用 户 对 这 个 自己 独 有 的 文件 夹 拥 有 完全 控制 的 权限 ) 。 如 果 使 用 管理 员 用 
户 组 的 用 户 登 录 ，“ 我 的 电脑 ”视图 中 可 看 到 所 有 本 地 登录 用 户 的 “XX 的 文档 ”文件 夹 ， 
此 外 还 有 一 个 共享 文件 夹 。 而 其 他 类 型 用 户 则 只 能 在 此 处 看 到 自己 的 “XX 的 文档 ”文件 
夹 , 而 无 法 看 到 其 他 登录 用 户 的 文件 夹 ， 即使 直接 在 硬盘 上 能 找到 其 他 用 户 的 相关 文件 夹 ， 
也 不 能 访问 文档 ， 除 非得 到 授权 。 这 样 就 保证 了 除 管理 员外 ， 其 他 用 户 独 有 文件 相互 之 间 
的 安全 隐私 性 ， 同 时 也 保证 了 普通 用 户 在 使 用 中 不 会 对 计算 机 系统 造成 安全 危害 。 这 时 系 
统 的 日 常 运作 基本 上 是 安全 的 。 

但 是 ， 随 着 日 常 的 使 用 ， 和 爸爸 发 现 ， 正 处 于 充满 好 奇 年 龄 阶段 的 儿子 对 计算 机 里 的 一 
切 充 满 了 探索 的 欲望 ， 然 而 由 于 计算 机 知识 不 够 ， 他 常常 会 无 意识 地 对 硬盘 上 其 他 用 户 创 
建 的 文件 或 应 用 软件 进行 运行 、 修 改 、 删 除 等 破坏 工作 ， 又 或 者 在 硬盘 的 系统 分 区 上 复制 
大 量 文件 而 使 该 分 区 消耗 殖 尽 等 。 虽 然 用 户 权 限 的 限制 不 至 于 损害 系统 ， 但 这 显然 对 计算 
机 的 正常 使 用 影响 巨大 ， 不 关心 技术 的 妈妈 甚至 有 时 也 会 犯 这 样 的 错误 。 这 时 爸爸 就 以 管 
理 员 身 份 登录 计算 机 ， 通 过 设置 不 同 用 户 对 文件 夹 的 访问 权限 来 解决 这 一 问题 。 

首先 ， 由 于 Windows XP 默认 的 是 文件 简单 共享 方式 ， 这 种 情况 下 无 法 为 文件 夹 或 文 
件 设置 访问 权限 ， 所 以 要 去 掉 这 一 默认 方式 。 选 择 资源 管理 器 的 菜单 项 “工具 ”| “文件 
夹 选项 ”， 进 入 “查看 ”选项 卡 ， 将 “使 用 简单 文件 共享 ”前 的 复 选 框 勾 除 即 可 。 之 后 用 
鼠标 右 击 要 设置 权限 的 文件 夹 ( 也 可 是 整个 硬盘 分 区 ), 在 弹出 的 快捷 菜单 中 选择 “属性 ”， 
并 在 属性 对 话 框 中 选择 “安全 ”选项 卡 ， 在 这 里 就 可 添加 或 删除 不 同 访问 权限 的 组 或 用 户 。 


138 网 络 安全 基础 教程 


有 时 我 们 会 发 现 无 法 删除 组 或 用 户 ， 或 者 由 于 它们 的 具体 权限 在 权限 列表 中 是 灰色 的 
而 无 法 修改 。 这 是 因为 文件 夹 在 默认 状态 下 继承 了 上 级 文件 夹 或 系统 分 区 的 访问 权限 ， 所 
以 要 先 去 除 已 继承 的 权限 才能 修改 。 单 击 “ 安 全 ”选项 卡 上 的 “高 级 ”按钮 ， 查 看 文件 夹 
的 高 级 安全 设置 对 话 框 。 在 文件 的 高 级 安全 设置 对 话 框 下 方 有 一 个 “从 父 项 继承 那些 可 以 
应 用 到 子 对 象 的 权限 项 目 ， 包 括 那些 在 此 明确 定义 的 项 目 ” 复 选 框 ， 这 个 选项 就 是 用 来 设 
置 权限 的 继承 ， 取 消 复 选 框 的 选择 ， 这 时 又 会 弹出 另 一 个 对 话 框 ， 如 果 此 处 选择 “复制 ” 
按钮 ， 那 么 该 文件 夹 将 保留 上 级 文件 夹 继 承 下 来 的 权限 , 但 若 以 后 上 级 文件 夹 权 限 被 修改 ， 
就 不 会 影响 本 文件 夹 ; 如 果 选 择 删 除 ， 就 将 删除 所 有 继承 自 上 级 文件 夹 的 权限 ， 只 保留 用 
户 单独 为 该 文件 夹 设置 的 权限 。 这 样 就 能 自由 设置 文件 夹 权 限 了 。 

最 后 ， 还 可 限制 不 同 用 户 能 使 用 的 具体 磁盘 空间 来 加 强 管理 。 具 体 做 法 是 ， 在 系统 磁 
盘 驱 动 器 图 标 上 单 击 鼠 标 右键 ， 选 择 “属性 ”选项 ， 单 击 “ 配 额 ” 选 项 进入 配额 选项 面板 。 
选择 启用 磁盘 配额 。 如 果 你 想 严格 控制 用 户 可 使 用 的 磁盘 空间 ， 可 选择 “将 磁盘 空间 限制 
为 ”选项 ， 并 设置 相关 数字 。 接 着 单 击 “ 配 额 项 ”进入 具体 设置 ， 在 这 里 可 新 建 配额 项 和 
修改 配额 项 。 

至 此 ， 作 为 管理 员 的 爸爸 就 可 以 基本 保证 计算 机 的 安全 和 正常 使 用 了 。 但 要 正确 设置 
好 文件 的 权限 ， 还 需 牢记 以 下 原则 。 

(1) 权 限 是 积累 的 一 一 例如 某 个 用 户 对 一 个 文件 有 读 取 权 限 , 而 该 用 户 又 属于 一 个 组 ， 
同样 该 组 对 该 文件 又 有 写 的 权限 ， 那 么 该 用 户 对 该 文件 就 有 了 读 和 写 的 双重 权限 

(2) 文件 权限 超越 文件 夹 权 限 一 一 如 果 某 个 用 户 对 一 个 文件 有 写 的 权限 ,同时 他 对 该 
文件 所 在 文件 夹 只 有 读 的 权限 ， 最 后 并 不 影响 该 用 户 对 文件 的 写 权限 ; 

(3) 拒绝 权限 大 于 一 切 一 一 上 面 在 为 用 户 赋予 权限 时 ， 都 是 设置 其 允许 有 什么 权限 ， 
而 没有 设置 拒绝 权限 ， 但 实际 上 拒绝 权限 可 以 超越 其 他 任何 权限 ， 如 果 你 想 让 某 个 用 户 不 
能 访问 一 个 文件 夹 ， 那 么 你 可 设置 该 文件 夹 拒绝 访问 ， 这 样 即使 该 用 户 对 此 文件 夹具 有 访 
问 权限 也 不 行 。 另 外 ， 这 里 给 出 管理 员 在 授权 时 的 一 些 有 益 经 验 : 

(1) 为 减少 工作 量 ， 尽 可 能 为 组 授权 ， 而 不 要 为 用 户 授权 ; 

(2) 将 文件 分 组 ， 如 建 一 个 文件 夹 专门 存放 资料 ， 为 该 文件 夹 授予 权限 ， 而 不 必 为 每 
个 文件 都 设置 权限 ; 

(3) 实行 按 需 分 配 原则 ， 只 授予 用 户 他 们 需要 的 权限 ， 这 样 可 提高 安全 性 ; 

(4) 当 你 对 可 执行 文件 授权 时 ， 尽 量 授予 读 和 执行 权限 ， 而 不 要 再 授予 其 他 权限 ， 这 
样 可 在 一 定 程度 上 防止 病毒 的 侵害 。 

4. 单机 多 用 户 文件 安全 的 使 用 事项 

首先 ， 无 论 你 是 哪 一 级 的 用 户 都 要 明白 ， 自 己 的 用 户 密码 是 安全 的 关键 。 如 果 忘 记 密 
码 就 会 造成 极 大 的 困扰 ， 虽 然 有 一 些 技巧 可 恢复 你 的 密码 ， 但 随 着 Windows XP 安全 性 能 
不 断 升 级 ， 密 码 恢复 将 会 越 来 越 难 。 所 以 未 雨 绸 缪 为 自己 创建 一 张 修复 用 户 密码 的 启动 软 
盘 是 个 好 办 法 : 单 击 “ 控 制 面板 ”|“ 用 户 账户 ”， 选 择 自己 的 账户 进入 到 控制 界面 ， 之 后 
单 击 窗口 左上 方 “相关 任务 ”下 的 “阻止 一 个 已 忘记 的 密码 ”选项 ， 则 进入 “忘记 密码 向 
导 ” 对 话 框 。 单 击 “ 下 一 步 ”， 向 导 提 示 将 一 张 空白 的 已 格式 化 磁盘 插入 到 软驱 中 ， 接 下 
来 向 导 提 示 输 入 当前 密码 ， 输 入 后 经 过 几 秒 钟 便 创建 完成 密码 启动 盘 了 。 如 果 有 一 天 忘记 
了 自己 的 密码 ， 只 要 在 欢迎 登录 界面 单 击 自己 账户 右边 的 箭头 ， 然 后 在 弹出 的 提示 栏 中 选 
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择 “ 使 用 密码 重 设 磁盘 ”， 再 将 先前 做 好 的 密码 启动 盘 插 入 软驱 ， 按 照 系统 提示 重新 设置 
密码 就 能 正常 登录 了 。 
接 下 来 将 讨论 , 单机 多 用 户 环境 下 的 普通 用 户 在 私人 资源 的 安全 和 隐私 方面 的 注意 


事项 。 
首先 ， 各 用 户 对 自己 的 专 有 文件 夹 ( 即 “XX 的 文 挡 ”) 拥有 完全 控制 的 权限 ， 如 果 系 
统 没 有 取消 “简单 共享 文件 ”， 可 在 文件 夹 属性 中 将 某 文件 夹 设置 为 “ 专 有 文件 夹 ” 以 保护 
私人 资源 。 若 计算 机 取消 了 “简单 共享 文件 ”， 就 可 以 按 上 文 设置 用 户 访问 权限 来 保护 。 

通过 上 述 设置 ， 虽 然 一 般 用 户 不 能 访问 受到 保护 的 文件 ， 却 不 能 阻止 计算 机 管理 员 的 
访问 ， 故 Windows XP 提供 了 EFS 文件 加 密 功 能 来 解决 这 一 问题 。 右 击 要 保护 的 文件 或 文 
件 夹 ， 选 择 “属性 ”|“ 高 级 ”， 选 中 “加 密 内 容 以 便 保 护 数据 ”， 两 次 “确定 ” 即 可 ; 这 
里 如 果 对 文件 夹 进 行 加 密 ， 会 多 出 现 一 个 对 话 框 ， 提 示 是 加 密 文件 夹 还 是 该 文件 夹 中 的 所 
有 内 容 ， 加 密 完成 后 可 看 到 被 加 密 过 的 文件 或 文件 夹 名 被 标明 为 绿色 。 别 的 账号 登录 系统 
是 打 不 开 这 些 加 密 文件 的 ， 即 使 具有 最 高 权限 的 计算 机 管理 员 也 不 能 打开 (但 他 可 删除 任 
何 文件 ， 包 括 别 人 的 加 密 文件 ) 。 

作为 在 单机 多 用 户 环境 下 的 管理 员 ， 首 先 要 注意 日 常 的 运行 操作 不 要 以 管理 员 身 份 
登录 。 因为 以 管理 员 身 份 运行 Windows XP 容易 使 系统 受到 病毒 、 特 洛 伊 木马 和 其 他 安全 
性 威胁 的 侵害 。 例 如 不 熟悉 的 Intemet 站 点 可 能 有 木马 代码 ， 这 些 代码 可 下 载 到 该 系统 并 
执行 。 如 以 管理 员 身 份 登录 ， 木 马 可 能 会 重新 格式 化 硬盘 、 删 除 所 有 文件 、 新 建 具 有 管 
理 访问 权限 的 用 户 账户 等 。 所 以 应 该 将 自己 添加 到 Users 或 Power Users 组 中 。 只 有 在 需 
要 执行 管理 任务 时 ， 如 升级 操作 系统 或 配置 系统 参数 、 安 装 程序 等 ， 再 注销 并 以 管理 员 
身份 登录 。 如 果 觉 得 登录 过 于 麻烦 ， 也 可 利用 临时 为 自己 分 配 管理 权限 的 技巧 ，(1) 以 
安装 某 程序 为 例 ， 在 右 击 程序 安装 文件 的 同时 按 住 Shift 键 ; (2) 在 随后 出 现 的 快捷 菜 
单 中 单 击 “ 运 行 方式 ”; (3) 输入 具有 相应 管理 权限 的 用 户 名 和 密码 。 这 种 方式 对 于 开 
始 菜单 中 的 应 用 程序 同样 适用 。 
当然 ， 计 算 机 管理 员 要 好 好 研究 控制 面板 里 “管理 工具 ”项 目 中 的 “本 地 安全 策略 ”， 
这 是 Windows XP 最 重要 的 安全 设置 工具 ， 系 统 的 基本 安全 设置 都 可 在 这 里 实现 ， 通 过 它 
你 可 以 结合 具体 情况 有 效 制订 出 机 器 的 安全 策略 和 独特 技巧 。 例 如 依次 选择 “安全 设置 ”| 
“本 地 策略 ”|“ 安 全 选项 ”。 在 右 侧 窗口 中 ， 双 击 “ 关 机 : 允许 系统 在 尚未 登录 的 情况 下 
被 关闭 ”， 单 击 “ 已 停 用 ” 单 选 框 并 单 击 “ 确 定 ” 按 钮 。 这 样 一 来 ， 就 禁用 了 “欢迎 屏幕 ” 
上 的 关机 按钮 ， 在 尚未 登录 的 情况 下 ， 任 何人 都 无 法 执行 关机 操作 了 ! 仔细 研究 和 发 掘 ， 
你 能 创造 出 更 多 的 安全 管理 技巧 。 


注意 : 对 于 公共 场合 的 单机 多 用 户 ， 如果 你 的 私人 文件 极为 隐 密 和 重要 ， 那么 一 定 要 结 
合 其 他 工具 软件 来 保护 你 的 文件 . 因为 Windows XP 现 有 的 安全 性 能 还 不 足以 完 
全 保护 你 的 文件 ,毕竟 一 些 有 经 验 的 用 户 在 配合 相应 工具 的 情况 下 , 能 轻易 获取 
计算 机 管理 员 的 权限 。 


5.2.5 数据 备份 
数据 对 于 计算 机 使 用 者 来 说 珍贵 之 处 不 言 而 喻 。 然 而 ， 硬 件 故障 、 软 件 损坏 、 病 毒 侵 
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袭 、 黑 客 骚扰 、 错 误 操 作 以 及 其 他 意 想 不 到 的 原因 时 时 都 在 威胁 着 我 们 的 计算 机 ， 随 时 可 
能 使 系统 崩溃 而 无 法 工作 ， 或 许 不 经 意 间 您 的 数据 以 及 长 时 间 积累 的 资料 就 会 化 为 乌有 。 
那么 ， 有 没有 办 法 可 以 避免 造成 这 样 的 损失 呢 ? 答案 是 肯定 的 ， 这 个 行 之 有 效 、 有 时 甚至 
是 唯一 的 办 法 ， 就 是 备份 ! 

1. 细 究 备份 技术 

这 里 所 说 的 “备份 ”仅仅 限于 个 人 数据 的 备份 。 

随 着 软件 技术 的 发 展 ， 系 统 软件 功能 越 来 越 强 ， 备 份 技术 也 突飞猛进 。 专 用 备份 程序 
不 断 推陈出新 ， 适 用 程度 越 来 越 高 ， 安 全 系数 越 来 越 大 ， 高 级 备份 软件 性 能 越 来 越 优 ， 简 
单 备份 的 方式 也 未 受到 淘汰 ; 单个 文件 备份 形态 仍 被 看 好 ， 批 量 备份 方式 成 为 主流 ， 硬 盘 
“克隆 ”技术 成 为 热门 ， 自 主 的 静态 备份 普遍 被 使 用 ， 自 动 的 实时 备份 被 越 来 越 多 的 用 户 
选择 …… 纵 观 整个 软件 家 族 ， 用 户 可 以 选择 的 备份 程序 、 方 式 方法 越 来 越 灵 活 。 您 可 以 有 
目的 地 备份 单个 文件 ， 也 可 以 有 选择 地 复制 指定 文件 ， 或 者 将 整个 硬盘 压缩 复制 到 另外 的 
介质 上 ;， 您 可 以 让 备份 的 数据 保留 计算 机 某 一 个 时 段 完 全 的 原貌 ， 从 而 在 任何 时 候 实现 该 
时 段 数 据 结 构 的 原样 恢复 ， 您 也 可 以 让 备份 数据 和 硬盘 数据 保持 同步 变化 ， 使 不 断 变化 的 
重要 数据 在 发 生 突然 变故 时 圆满 地 得 到 还 原 。 

与 此 同时 ， 硬 件 技术 也 在 进步 ， 适 合 于 作为 备份 介质 的 设备 越 来 越 多 ， 存 储 容量 越 来 
越 大 。 专 用 的 磁带 机 性 能 越 来 越 好 ， 光 盘 刻 录 机 价格 越 来 越 低廉 ，Zip 磁盘 、 驱 动 器 品种 越 
来 越 多 ， 小 巧 便携 的 大 容量 活动 存储 设备 类 型 越 来 越 丰富 ， 可 用 于 备份 数据 的 网 络 条 件 越 
来 越发 达 。 各 种 存储 设备 的 质量 越 来 越 高 ， 便 携 性 、 可 靠 性 都 有 所 提升 ， 比 起 当初 软盘 一 
统 天 下 的 局 面 ， 可 谓 天 壤 之 别 ， 谁 都 可 以 方便 、 自 由 地 选择 一 款 合适 的 备份 设备 。 

2. 抛 开 备份 说 备份 

进行 不 同 作业 时 ， 可 以 用 于 备份 的 方法 、 设 备 确实 太 多 了 ， 或 许 抛 开 “ 备 份 ”才能 更 
清晰 地 认识 备份 。 系 统 软件 可 以 自动 为 重要 文件 生成 备份 文件 ， 应 用 软件 提供 定时 自动 保 
存 、 自 动 恢 复 和 保存 文档 时 自动 保存 备份 文件 的 功能 ， 备 份 硬 件 的 安装 使 用 也 越 来 越 简 
便 …… 但 有 些 用 户 对 于 便利 的 软件 设置 和 硬件 设备 却 置之不理 ， 等 真 的 受到 惩罚 时 ， 才 万 
般 无 奈 地 求助 于 他 人 ， 或 者 摸索 着 用 数据 恢复 程序 侥幸 地 找 回 一 部 分 丢失 的 数据 ， 但 是 损 
失 已 经 不 可 避免 。 其 实 ， 备份 是 件 很 简单 的 事情 ， 只 要 构建 一 个 理想 的 备份 方案 就 行 了 。 
这 个 理想 的 备份 方案 ， 简 而 言 之 就 是 “四 个 一 ”政策 : 一 套 清晰 的 思路 ， 一 种 可 行 的 方法 ， 
一 台 好 用 的 设备 ， 一 个 强劲 的 软件 。 

下 面 ， 我 们 从 4 个 方面 分 别 介绍 几 种 备 选 方案 ,您 可 根据 自己 的 实际 情况 , 恰当 组 合 。 

3. 一 套 清晰 的 思 

哪些 文件 必须 备份 、 哪 些 文件 不 一 定 要 备份 ; 哪些 可 以 本 地 备份 、 哪 些 必须 异地 备份 ; 
哪些 应 该 动态 备份 、 哪 些 应 该 静态 备份 ， 哪些 应 该 活 备份 、 哪 些 必须 强制 性 地 死 备份 …… 
这 些 问 题 一 定 要 做 到 心中 有 数 。 

认识 备份 术语 了 解 备份 方法 

硬件 级 问题 : 选择 备份 文件 用 的 存储 设备 和 位 置 。 软件 级 问题 : 选择 备份 程序 并 充分 
挖掘 、 利 用 其 功能 。 

本 地 备份 : 在 本 机 硬盘 的 特定 区 域 备 份 文 件 。 

异地 备份 : 将 文件 备份 到 与 计算 机 分 离 的 存储 介质 ， 如 软盘 、Zip 磁盘 、 光 盘 以 及 存储 
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卡 等 介质 。 这 是 备份 的 硬件 级 问题 。 

活 备份 : 备份 到 可 控 写 存储 介质 ， 以 便 更 新 和 修改 。 

死 备份 :备份 到 不 可 擦 写 的 存储 介质 ， 以 防 错误 删除 和 别人 有 意 算 改 。 这 还 是 备份 的 
硬件 级 问题 。 

动态 备份 : 利用 软件 功能 定时 自动 备份 指定 文件 ， 或 文件 内 容 产 生变 化 后 随时 自动 
备份 。 

静态 备份 :为 保持 文件 原貌 而 进行 人 工 备份 。 这 是 本 地 备份 的 软件 级 问题 。 

对 于 每 一 个 计算 机 用 户 来 说 ， 全 部 文件 可 分 为 4 个 类 型 。 

(1) 安装 系统 软件 和 应 用 软件 形成 的 文件 ， 计 算 机 借助 于 它们 正常 运行 、 实 现 功 能 。 
这 些 文件 不 一 定 非 要 备份 ， 因 为 这 类 文件 可 以 通过 重新 安装 软件 再 次 得 到 。 但 是 ， 有 选择 
地 备份 系统 软件 中 保证 最 低 运 行 的 重要 的 文件 (如 Windows 的 注册 表 文件 以 及 软 、 硬 件 配 
置信 息 和 用 户 信息 ) 以 及 应 用 软件 中 的 个 人 配置 信息 文件 (如 个 人 模板 ) 可 以 有 效 地 减少 重 
新 安装 的 麻烦 。 这 类 文件 只 进行 本 地 活 备份 即 可 ， 不 过 ， 一 定 要 进行 静态 备份 ， 因 为 这 类 
文件 的 价值 在 于 其 原始 性 , 动态 备份 可 能 会 把 改变 的 甚至 产生 错误 的 文件 保存 为 最 终 备份 。 

(2) 从 网 络 等 媒体 上 复制 的 文件 (如 下 载 的 软件 、 媒 体 上 的 文献 等 ) 这 类 文件 有 些 
可 以 复 得 ， 有 些 过 期 则 会 消失 。 对 于 您 来 说 ， 下 载 后 就 成 了 唯一 的 ， 所 以 ， 一 定 要 备份 ， 
重要 的 还 要 异地 备份 ， 当 然 是 静态 备份 ， 因 为 复制 它 的 目的 一 般 是 使 用 而 不 是 进行 修改 。 

(3) 计算 机 自动 生成 或 用 户 添 加 形成 的 个 人 信息 〈 如 输入 法 词 库 、 网 页 收藏 夹 等 ) : 
这 类 文件 一 旦 丢失 ， 虽 可 重新 建立 ， 但 却 要 花费 很 大 精力 重新 组 织 ， 因 此 一 定 要 备份 。 不 
过 ， 它 们 是 随时 都 在 更 新 变化 的 ， 所 以 最 好 进行 本 地 动态 的 活 备份 ， 以 便 随 时 恢复 到 最 新 
状态 ; 当然 ， 在 一 定 阶 段 做 一 个 异地 的 死 备 份 也 是 必要 的 。 

(4) 纯 属 自己 积累 和 编辑 的 文件 〈 如 通信 短 、 电 子 邮 件 、 自 己 编辑 的 各 种 文档 ) : 这 
是 自己 的 劳动 果实 ， 也 是 独一无二 、 无 法 复 得 的 ， 应 该 采用 动态 备份 ， 随 时 记录 最 新 形态 ; 
取得 阶段 性 成 果 后 要 做 静态 的 异地 备份 ， 以 便 万 一 出 错时 进行 恢复 ;文件 完成 后 ， 做 至 少 
2 个 死 备 份 ， 以 防备 份 丢失 、 被 算 改 ， 或 者 因 存储 介质 损毁 而 不 可 使 用 。 
当然 ， 这 些 不 是 教条 的 ， 明 晰 的 思路 还 应 该 是 善于 应 变 的 。 比 如 Windows 注册 表 在 系 
统 运行 过 程 中 会 随时 被 有 意 无 意 地 修改 ， 所 以 有 必要 进行 动态 备份 ; 但 如 果 不 保留 一 个 最 
初 的 完好 备份 ， 就 可 能 在 最 需要 时 找到 一 个 带 有 致命 错误 的 注册 表 。 所 以 ， 综 合 应 用 多 种 
备份 方法 才 是 合理 的 。 

4. 一 种 可 行 的 方法 

(1) 选择 备份 工具 

首先 ， 好 的 备份 硬件 才能 使 良好 的 备份 方案 有 的 放 矢 。 其 次 ， 要 选择 一 个 功能 完善 
的 备份 程序 ， 才 能 使 软件 级 的 备份 方法 得 以 实现 。 对 于 正常 运行 的 系统 ， 备 份 程序 在 后 
台 作 业 , 以 保持 数据 同步 (原始 文件 和 备份 文件 随时 保持 一 致 ) 的 动态 备份 是 比较 理想 的 备 
份 方案 。 

(2) 选择 备份 方法 

选 好 备份 硬件 和 动态 备份 程序 后 ， 还 要 考虑 备份 方法 。 进 行文 件 还 是 文件 夹 备份 ? 是 
否 过 滤 ? 如 何 过 滤 ? 是 否 采 用 压缩 备份 方式 ? 备份 文件 是 否 易于 恢复 ? 是 否 选择 文件 数据 
同步 ? 如 果 选 择 数据 同步 ， 还 应 考虑 原始 文件 出 错 的 因素 ， 有 些 非法 操作 会 造成 原始 文件 
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出 现 非法 代码 而 不 能 打开 ， 若 完全 采用 动态 备份 ， 原 始 文件 和 备份 文件 两 者 完全 同步 ， 备 
份 文件 也 将 不 能 使 用 。 因 此 ， 根 据 自 己 的 实际 情况 ， 选 择 可 行 方法 是 非常 重要 的 。 

(3) 选择 保存 方法 

备份 文件 是 为 了 在 发 生意 外 时 能 够 恢复 文件 ， 如 果 备 份 文件 存放 不 好 ， 所 有 的 努力 都 
可 能 前 功 尽 弃 。 比 如 CIH 病毒 侵害 计算 机 ， 人 往往 会 吞噬 全 部 硬盘 数据 ， 如 果 仅 仅 在 本 地 动 
态 备 份 ， 备 份 文件 也 在 其 破坏 范围 之 内 。 还 有 一 些 人 为 的 破坏 更 其 于 此 。 要 避免 此 类 情况 ， 
就 必须 采用 异地 备份 。 而 异地 备份 的 存储 介质 也 可 能 遭 人 算 改 ， 这 就 需要 死 备份 。 然 而 ， 
异地 死 备 份 就 达 不 到 动态 备份 的 目的 。 因 此 ， 在 动态 备份 的 同时 ， 适 当 的 时 候 做 一 次 异地 
备份 是 最 值得 推广 的 安全 方案 。 

(4) 选择 文件 格式 

用 不 同 程序 、 不 同方 法 备份 的 文件 , 恢复 的 方法 也 是 不 同 的 。 一般 来 说 , 基于 Windows 
系统 的 备份 程序 产生 的 特殊 格式 的 备份 文件 仍 要 在 Windows 中 恢复 , 尤其 是 压缩 格式 的 备 
份 文件 。 这 对 个 人 文档 备份 来 说 不 存在 问题 ， 而 对 系统 文件 的 备份 就 不 合适 了 。 对 系统 文 
件 的 备份 ， 一 定 要 保存 成 在 DOS 环境 可 以 直接 拷贝 的 类 型 或 可 以 在 DOS 中 解 开 的 压缩 格 
式 ， 因 为 在 系统 无 法 启动 时 总 要 使 用 这 些 备 份 。 

5. 一 台 好 用 的 设备 

备份 离 不 开 存 储 设备 和 介质 。 目 前 ， 可 以 用 来 备份 的 设备 很 多 ， 除 软盘 、 本 地 硬盘 外 ， 
CD-R、CD-RW 光盘 、Zip 人 磁盘、 活动 硬盘 、 移 动 存储 设备 以 及 磁带 机 等 都 可 以 很 方便 地 买 
到 。 此 外 ，Internet 还 给 用 户 提供 了 网 络 备份 的 新 途径 ， 尤 其 是 一 些 免费 空间 很 值得 我 们 予 
以 关注 。 

软盘 是 最 常见 的 备份 介质 。 不 过 ， 软 盘 容 量 很 小 ， 备 份 少量 数据 尚 勉 强 可 为 ， 对 大 量 
数据 则 无 能 为 力 。 再 则 ， 软 盘 安 全 性 差 、 容 易 损 坏 ， 专 业 备 份 不 值得 考虑 。 

光盘 是 不 错 的 备份 介质 ， 它 容量 大 、 便 于 保管 和 携带 ， 安 全 性 也 较 高 ， 是 死 备 份 的 唯 
一 选择 。 

Zip 磁盘 的 容量 大 ， 容 易 实现 异地 备份 。 其 性 价 比较 高 。 在 不 同 场合 文件 交换 量 较 大 的 
用 户 可 以 首先 考虑 选择 它 作为 备份 设备 。 

经 常 需要 进行 移动 作业 的 用 户 可 以 把 中 、 大 容量 的 活动 硬盘 作为 备份 设备 的 首选 ， 虽 
然 价格 有 些 贵 ， 但 除 备份 功能 之 外 ， 它 还 能 让 您 随身 带 着 系统 和 数据 库 。 对 拥有 数码 相机 、 
数码 摄像 机 的 用 户 而 言 ， 移 动 存储 卡 或 记忆 棒 也 可 以 暂时 借以 备份 数据 。 磁 带 机 是 一 种 较 
原始 的 数据 载体 ， 但 新 型 产品 性 能 已 经 相当 完善 ， 对 于 从 事 数 据 生产 的 专业 用 户 还 是 值得 
选择 的 。 

如 果 淡 化 异地 备份 的 重要 性 ， 任 何人 都 可 以 把 本 地 硬盘 作为 最 佳 备 份 设备 。 在 硬盘 上 
建立 一 个 占 总 容量 20% 左 右 的 分 区 专用 于 备份 文件 ， 备 份 、 还 原 都 很 方便 ， 效 率 最 高 、 速 
度 最 快 、 单 位 容量 /价格 比 最 高 。 其 棘 端 是 这 个 分 区 无 法 从 计算 机 系统 中 分 离 出 去 ， 备 份 文 
件 仍 处 于 CIH 等 极 具 破坏 力 的 病毒 控制 之 下 。 对 此 ， 您 可 以 用 文档 压缩 备份 、 建 立 多 级 目 
录 、 隐 藏 文件 等 方法 缓解 潜在 的 危险 。 此 外 ， 您 还 可 以 购买 一 个 价格 较 低廉 的 小 硬盘 专 做 
备份 ， 平 时 ， 在 CMOS 中 把 它 设 为 从 属 硬盘 隐藏 起 来 ， 需 要 备份 和 恢复 文件 时 ， 对 CMOS 
做 简单 设置 即 可 激活 它 。 
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下 载 一 个 系统 安全 补丁 ， 并 安装 好 。 
给 系统 做 一 个 备份 。 
下 载 并 安装 一 个 反 间 谍 软 件 。 


. 将 计算 机 建立 成 两 个 用 户 ， 并 配置 好 权限 。 
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教学 提示 
伴随 着 计算 机 和 网 络 的 迅猛 发 展 和 广泛 应 用 ,作为 包含 着 网 络 设备 与 信息 系统 的 局 域 
网 环境 ， 其 安全 问题 也 日 益 突出 ， 本 章 在 分 析 局 域 网 安全 隐患 的 基础 上 ， 探 讨 了 局 域 网 安 
全 系统 建设 中 需要 重点 考虑 的 几 个 方面 ， 并 对 局 域 网 安全 体系 的 结构 及 相关 安全 技术 进行 
了 讨论 。 
针对 大 型 局 域 网 的 网 络 安全 解决 方案 ， 应 该 包括 原 有 网 络 系统 分 析 、 安 全 需求 分 析 、 
安全 目标 的 确立 、 安 全 体系 结构 的 设计 等 。 方 案 的 实施 应 以 不 影响 企业 局 域 网 当前 业务 为 
前 提 ， 实 现 对 企业 局 域 网 全 面 的 安全 管理 。 方 案 的 内 容 应 该 包括 如 下 内 容 
@ 将 安全 策略 、 硬 件 及 软件 等 方法 结合 起 来 ， 构 成 一 个 统一 的 防御 系统 ， 有 效 阻止 非 
法 用 户 进 入 网 络 ， 减 少 网 络 的 安全 风险 。 
@ 定期 进行 漏洞 扫描 ， 审 计 跟 踪 ， 及 时 发 现 问题 ， 解 决 问题 。 
@ ”通过 入 侵 检 测 等 方式 实现 实时 安全 监控 , 提供 快速 响应 故障 的 手段 , 同时 具备 很 好 
的 安全 取证 措施 。 
@ 使 网 络 管理 者 能 够 很 快 重新 组 织 被 破坏 了 的 文件 或 应 用 , 使 系统 重新 恢复 到 破坏 前 
的 状态 ， 最 大 限度 地 减少 损失 。 
@ 在 工作 站 、 服 务 器 上 安装 相应 的 防 病毒 软件 ， 由 中 央 控 制 台 统 一 控制 和 管理 ， 实 现 
全 网 统一 防 病毒 。 
通过 对 本 章 的 学 习 ， 应 当 充 分 掌握 局 域 网 安全 相关 知识 ， 理 解 局 域 网 中 可 能 存在 的 安 
全 威胁 并 能 清楚 其 产生 的 原因 ， 知 道 其 危害 严重 程度 并 掌握 解决 问题 的 思路 和 方法 。 
教学 重点 
@ 局 域 网 的 各 种 安全 威胁 产生 原因 。 
@ 局 域 网 的 各 种 安全 威胁 的 危害 严重 程度 。 
@ 局 域 网 的 各 种 安全 威胁 的 解决 方法 。 
@ 局 域 网 网 络 安 全 需求 分 析 和 安全 目标 。 
@ 局 域 网 网 络 安全 方案 的 总 体 原则 。 
@ 局 域 网 网 络 安 全 体系 结构 。 
@ 局 域 网 网 络 安全 技术 。 


6.1 局 域 网 概述 


随 着 计算 机 技术 和 网 络 技术 的 不 断 发 展 ， 建 立 在 其 上 的 应 用 不 断 丰 富 ， 以 前 高 昂 的 价 
格 不 断 降低 ， 逐 步 被 人 们 所 接受 ， 使 得 几乎 所 有 的 政府 机 关 、 学 校 、 医 院 、 银 行 、 商 业 企 
业 等 单位 都 建立 起 了 自己 的 局 域 网 ， 将 原 有 业务 尽量 用 计算 机 网 络 来 完成 ， 主 要 的 目的 是 
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提高 效率 ， 降 低 成 本 。 当 然 ， 计 算 机 网 络 有 其 自身 的 复杂 性 和 特点 ， 如 果 没有 进行 合理 有 
效 的 管理 ， 也 可 能 给 单位 带 来 各 种 程度 的 损失 ， 甚 至 是 灾难 ， 而 且 这 样 的 实例 已 经 多 次 发 
生 过 ， 所 以 网 络 安全 问题 日 益 成 为 人 们 关注 的 焦点 。 

据 统 计 ， 超 过 50% 的 网 络 及 信息 安全 问题 源 于 内 部 人 员 所 为 ， 可 见 管 理 好 局 域 网 在 整 
个 网 络 信 息 安 全 体系 中 具有 重要 的 地 位 。 由 于 局 域 网 是 一 个 由 网 络 设备 与 信息 系统 组 成 的 
复杂 环境 ， 连 接 便捷 、 应 用 系统 多 、 重 要 数据 多 是 其 显著 特点 ， 如 果 下 于 对 局 域 网 的 安全 
防范 ， 那 么 就 极 易 出 现 应 用 系统 被 非法 使 用 、 数 据 被 窃取 和 被 破坏 等 情况 ， 因 此 注重 局 域 
网 安全 系统 建设 、 有 效 防范 源 自 局 域 网 内 的 安全 问题 具有 重要 意义 。 


6.1.1 网 络 概况 


在 对 现 有 网 络 或 者 是 新 建立 的 网 络 规划 网 络 信息 安全 解决 方案 时 一 定 要 考虑 网 络 本 身 
的 基本 情况 ， 只 有 在 了 解 网 络 基本 情况 的 基础 上 才能 够 规划 出 适当 的 解决 方案 。 

1. 网 络 基本 情况 

(1) 网 络 规模 ， 比 如 有 多 少 台 计算 机 ， 多 少 个 交换 机 ， 多 少 个 路 由 器 。 

(2) 网 络 距离 ， 是 在 同一 房间 还 是 分 布 在 不 同房 间 ， 是 在 同一 楼 层 还 是 分 布 在 不 同 楼 
层 ， 是 在 同一 栋 建筑 物 还 是 不 同 建筑 物 ， 是 否 需要 跨越 因特网 。 

(3) 网 络 速度 ， 是 十 兆 、 百 兆 还 是 千 兆 或 者 更 高 。 

(4) 是 否 与 Intemet 连接 ， 连 接 的 方式 如 何 ， 是 选择 拨号 连接 ， 还 是 专线 连接 ， 速 度 
如 何 ， 选 择 多 少 兆 带 宽 。 

(5) 是 否 对 外 提供 Web 服务 ， 如 直接 对 外 发 布 信息 或 者 发 送 电子 邮件 ， 提 供 网 上 订 
货 、 网 上 付款 等 电子 商务 应 用 。 

(6) 网 络 的 主要 用 途 包括 哪些 ， 如 生产 、 研 发 、 办 公 、 财 务 、 销 售 等 。 

通过 对 网 络 结构 、 连 接 方式 、 网 络 规模 、 网 络 应 用 等 基本 情况 的 了 解 ， 有 利于 了 解 网 
络 存在 的 各 种 潜在 安全 威胁 ， 为 有 针对 性 地 提供 网 络 信息 安全 解决 方案 并 解决 各 种 安全 问 
题 提 供 依据 。 

2. 网 络 结构 规划 

企业 局 域 网 通常 按照 其 功能 特点 可 以 分 为 三 个 区 域 ， 即 Internet 区 域 、 内 部 网 络 、 公 开 
服务 器 区 域 。 

(1) Intemet 区 域 是 指 可 以 直接 和 Intemet 连接 ， 进 行 对 外 邮件 发 送 、 资 料 查询 、 下 载 
文件 、 即 时 通信 等 。 

(2) 根据 安全 要 求 层 级 的 需要 ， 内 部 网 络 不 能 和 Intemet 连接 ， 只 提供 企业 内 部 信息 
交流 。 为 进一步 提供 企业 内 部 网 络 结构 上 的 安全 性 ， 内 部 网 络 又 可 按照 所 属 的 部 门 、 职 能 、 
安全 重要 程度 等 分 为 许多 子 网 ， 比 如 财务 子 网 、 领 导 子 网 、 办 公子 网 、 市 场 部 子 网、 中 心 
服务 器 子 网 等 。 

(3) 在 安全 方案 设计 中 ， 基 于 安全 的 重要 程度 和 要 保护 的 对 象 ， 可 以 在 三 层 交 换 机 上 
直接 划分 出 多 个 虚拟 局 域 网 CVLAN) ， 如 中 心服 务 器 子 网 、 财 务 子 网 、 领 导 子 网 、 其 他 
子 网 ， 虚 拟 局 域 网 较 之 传统 子 网 有 更 多 的 灵活 性 和 可 控 性 。 

(4) 不 同 的 局 域 网 分 属 不 同 的 广播 域 ， 由 于 财务 子 网 、 领 导 子 网 、 中 心服 务 器 子 网 属 
于 重要 网 段 ， 因 此 在 中 心 交换 机 上 将 这 些 网 段 各自 划 分 为 一 个 独立 的 广播 域 ， 而 将 其 他 的 
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工作 站 划分 在 一 个 相同 的 网 段 。 

(5) 公开 服务 器 区 域 是 指 专门 对 外 提供 Intemet 服务 的 计算 机 ， 提 供 的 服务 包含 网 上 
订货 、 信 息 发 布 、 网 上 交流 等 ， 这 些 计算 机 应 该 与 内 部 网 隔离 ， 避 免 来 自 外 部 的 攻击 而 影 
响 到 内 部 网 络 的 安全 。 


6.1.2 网络 应 用 


企业 建立 局 域 网 的 出 发 点 和 归属 都 在 于 应 用 其 提供 的 功能 上 面 ， 只 有 局 域 网 有 效 提供 
了 其 应 该 有 的 功能 以 后 ， 企 业 对 其 所 做 的 所 有 投入 才 有 意义 ， 那 么 我 们 来 讨论 一 下 企业 局 
域 网 会 给 企业 带 来 哪些 应 用 呢 ? 

1. 文件 共享 

文件 共享 是 企业 局 域 网 的 一 项 基本 功能 ， 也 是 企业 最 基本 的 一 项 应 用 。 传 统 的 纸 质 文 
件 需要 人 工 传递 ， 现 在 基于 计算 机 的 电子 文件 只 需要 通过 共享 ， 就 可 以 让 局 域 网 内 相关 的 
每 个 用 户 看 到 ， 无 疑 通过 这 样 的 方式 提高 了 工作 效率 ， 同 时 降低 了 成 本 。 

2. 办 公 自 动 化 

作为 提高 企业 办 公 管 理 效率 的 基础 平台 ， 近 年 来 ， 办 公 自 动 化 系统 受到 各 企业 高 度 重 
视 ， 他 们 纷纷 构建 起 适合 于 自身 应 用 特色 的 办 公 自 动 化 系统 ， 从 而 逐步 提高 企业 的 工作 效 
率 并 提升 管理 质量 。 

通过 为 企业 构建 高 效 实用 的 企业 办 公 系 统 ， 使 企业 内 实现 高 效率 信息 沟通 联络 、 网 络 
协同 无 纸 化 办 公 ， 帮 助 企 业 最 终 实 现 规范 管理 、 信 息 资 源 高 效 传递 ， 使 企业 从 彼此 独立 被 
动 的 混乱 管理 模式 转向 一 体 化 、 信 息 共享 的 统一 管理 模式 。 

3. WWW 服务 

企业 通过 内 部 WWW 服务 的 方式 进行 信息 发 布 ， 在 内 部 网 站 上 进行 信息 交流 ， 通 过 企 
业内 部 网 站 进行 信息 交流 ， 有 效 防止 直接 和 外 部 网 络 连接 的 风险 ， 同 时 也 减 小 了 内 部 人 员 
通过 外 部 网 络 泄密 内 部 信息 的 可 能 。 

4. 电子 邮件 服务 

电子 邮件 是 人 们 使 用 最 广泛 的 一 种 信息 交流 方式 ， 企 业 通过 内 部 网 络 系统 提供 邮件 收 
发 服务 ， 使 企业 内 部 人 员 在 免 受 外 部 安全 威胁 的 环境 下 能 够 通过 电子 邮件 进行 快捷 方便 的 
信息 交流 。 

5. 文件 数据 的 统一 存储 

在 一 个 企业 中 ， 各 种 数据 分 散 存储 在 网 络 的 各 个 角落 ， 比 如 财务 数据 存储 在 财务 部 门 
的 计算 机 上 ， 市 场 数据 存储 在 市 场 部 门 的 计算 机 上 ， 销 售 数据 存储 在 销售 部 门 的 计算 机 上 
等 等 ， 这 些 数 据 对 于 企业 的 日 常 经 营 管理 和 发 展 都 具有 重要 作用 ,保证 其 安全 性 是 必需 的 。 
通过 企业 内 部 网 络 ， 可 以 把 这 些 数据 统一 存储 到 专门 的 计算 机 上 ， 然 后 进行 统一 管理 和 保 
护 ， 这 也 是 企业 局 域 网 所 提供 的 一 个 重要 功能 。 

6. 二 次 开发 

企业 局 域 网 的 发 展 和 完善 是 一 个 逐步 的 过 程 ， 建 立 在 其 基础 上 的 应 用 和 发 展 也 是 一 样 
的 ， 所 以 建立 企业 网 络 的 时 候 就 要 考虑 到 将 来 一 段 时 间 的 发 展 情况 ， 为 其 保留 一 定 的 扩展 
余地 。 软 件 系统 一 般 将 这 种 情况 称 为 二 次 开发 。 
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7. 提供 与 Internet 的 访问 

为 了 方便 企业 内 部 人 员 及 时 获取 外 部 信息 ， 查 询 工 作 所 需 资料 以 及 方便 地 和 外 界 保 持 
联系 (比如 市 场 人 员 和 销售 人 员 与 供应 商 、 合 作 伙 伴 以 及 客户 的 联系 ) ， 企 业 局 域 网 为 他 
们 提供 直接 访问 Internet 的 权限 。 

8. 对 外 信息 发 布 

企业 通过 公开 服务 器 对 外 发 布 企业 信息 、 收 发 电子 邮件 、 网 上 订货 、 网 上 交流 等 ， 同 
时 也 搜集 外 界 对 公司 的 反馈 意见 ， 形 成 一 个 企业 对 外 交流 信息 平台 。 


6.1.3 ”网 络 结构 特点 


在 分 析 企 业 局 域 网 的 安全 风险 时 ， 应 考虑 到 网 络 的 特点 ， 因 为 它们 都 与 网 络 信息 安 
全 息息相关 ， 是 否 能 够 针对 这 些 情况 做 好 安全 管理 工作 ,直接 关系 到 整个 企业 局 域 网 的 
安全 。 

1. 网 络 与 Internet 直接 连接 

在 进行 安全 方案 设计 时 要 考虑 与 Intemet 连接 的 有 关 风 险 ， 包 括 可 能 通过 Intemet 传播 
进来 病毒 ， 黑 客 攻击 ， 来 自 Internet 的 非 授 权 访问 等 。 

2. 网 络 中 存在 公开 服务 器 

由 于 公开 服务 器 对 外 必须 开放 部 分 业务 ， 因 此 在 进行 安全 方案 设计 时 应 该 考虑 采用 安 
全 服务 器 网 络 ， 避 免 公开 服务 器 的 安全 风险 扩散 到 内 部 。 

3. 内 部 网 络 中 存在 许多 不 同 的 子 网 

不 同 的 子 网 有 不 同 的 安全 性 ， 因 此 在 进行 安全 方案 设计 时 ， 应 考虑 将 不 同 功能 和 安全 
级 别 的 网 络 分 割 开 ， 这 可 以 通过 交换 机 划分 VLAN 来 实现 。 

4. 网 络 中 有 哪些 应 用 和 服务 器 

在 应 用 程序 开发 时 就 应 考虑 加 强 用 户 登 录 验 证 ， 防 止 非 授权 的 访问 等 ， 对 于 安全 性 要 
求 较 高 的 应 用 软件 (如 财务 软件 ) 可 考虑 数据 的 加 密 传输 。 了 解 企业 中 的 各 种 应 用 的 特点 
以 及 安全 性 要 求 ， 特 别 是 存储 企业 重要 信息 的 文件 服务 器 、 应 用 服务 器 、 数 据 库 服 务 器 等 
的 安全 需要 特殊 处 理 。 


6.2 ”安全 评估 


安全 评估 是 依据 安全 管理 的 方针 和 保证 程度 的 要 求 ， 综 合 考虑 组 织 特 性 、 地 理 位 置 、 
资产 和 技术 等 因素 ， 充 分 利用 各 类 信息 〈 如 威胁 信息 、 脆 弱 性 信息 和 影响 信息 等 ) 对 网 络 
及 信息 系统 的 安全 状况 给 予 评价 ， 确 定 由 安全 问题 带 来 的 风险 程度 ， 并 选择 合适 的 控制 目 
标 和 控制 方式 。 
6.2.1 网 络 安全 为 何 会 失败 

经 过 我 们 自己 的 亲身 体验 和 媒体 的 报道 ， 我 们 认识 到 了 网 络 安全 的 重要 性 ， 也 希望 采 
取 一 些 措施 来 解决 网 络 安全 问题 。 但 是 往往 会 发 现 ， 我 们 虽然 采取 了 网 络 安全 的 防范 措施 ， 
但 是 却 没 能 达到 理想 的 效果 ， 这 就 是 这 里 所 说 的 网 络 安全 失败 。 那 么 有 哪些 原因 会 导致 网 
络 安全 失败 呢 ? 下 面 我 们 将 对 主要 的 几 种 情况 进行 分 别 讨论 。 
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(1) 人 的 意识 

虽然 网 络 安全 意识 比 起 以 前 有 了 较 大 提高 ， 但 是 还 远 远 不 够 ， 比 如 有 的 人 计算 机 不 设 
置 密码 或 者 设置 非常 简单 的 密码 ， 有 的 人 不 安装 杀毒 软件 和 防火 墙 软件 ， 有 的 人 随意 从 外 
面 带 来 的 光盘 或 者 移动 硬盘 复制 文件 到 自己 的 计算 机 等 ， 这 些 都 是 安全 隐患 ， 虽 然 不 一 定 
会 造成 安全 问题 ， 但 是 这 些 行为 都 会 增加 安全 隐患 。 

提高 安全 意识 是 解决 网 络 安全 问题 的 第 一 步 ， 如 果 没 有 足够 的 安全 意识 ， 总 是 心 存 侥 
幸 或 者 怕 小 的 麻烦 ， 就 有 可 能 带 来 更 大 的 危害 ， 甚 至 是 重大 损失 。 只 有 人 们 的 安全 意识 提 
高 了 ， 行 为 得 到 规范 以 后 ， 安 全 问题 才 可 能 得 到 很 好 的 解决 。 

(2) 策略 因素 

安全 策略 是 一 种 处 理 安全 问题 的 管理 策略 的 描述 。 策略 要 能 对 某 个 安全 主题 进行 描绘 ， 
探讨 其 必要 性 和 重要 性 ， 解 释 清 楚 什 么 该 做 什么 不 该 做 。 安 全 策略 应 该 简明 ， 在 生产 效率 
和 安全 之 间 应 该 有 一 个 好 的 平衡 点 ， 易 于 实现 、 易 于 理解 。 安 全 策略 必须 遵循 三 个 基本 概 
念 ， 即 确定 性 、 完 整 性 和 有 效 性 。 

从 上 面 可 以 看 出 ， 安 全 策略 既 要 考虑 到 细节 ， 又 要 照顾 到 全 局 ， 对 具体 某 个 问题 的 处 
理 也 要 同时 考虑 到 方便 性 和 安全 性 (因为 方便 性 和 安全 性 往往 是 矛盾 的 ) 。 尤 其 是 对 于 一 
个 大 型 的 企业 网 络 系统 而 言 ， 没 有 系统 、 完 整 的 安全 策略 是 根本 无 法 有 效 解决 网 络 安全 问 
题 的 ， 这 就 要 求 在 安全 策略 上 面 多 下 工夫 。 

(3) 硬件 或 软件 配置 错误 

计算 机 硬件 或 者 软件 提供 多 种 配置 选择 是 为 了 满足 多 种 不 同 的 需要 ， 提 供 了 一 定 程度 
的 灵活 性 ， 也 正 是 因为 如 此 ， 如 果 对 各 项 配置 不 是 很 清楚 其 功能 和 意义 的 话 ， 很 有 可 能 出 
现 配置 错误 的 情况 ,结果 使 之 前 所 做 的 安全 投资 完全 没有 意义 了 ， 从 而 导致 网 络 安全 问题 。 
一 个 很 明显 的 例子 就 是 计算 机 上 虽然 安装 了 防火 墙 ， 可 是 觉得 老 是 弹出 安全 警告 ， 所 以 就 
把 防火 墙 设置 为 全 部 通过 ， 结 果 防 火 墙 就 形同虚设 了 。 

(4) 不 充分 的 假设 

实际 上 ， 我 们 对 多 数 网 络 安全 问题 的 处 理 基本 上 都 是 基于 假设 来 做 的 ， 只 有 极 少 数 是 
自己 实际 经 历 过 的 。 即 使 对 于 我 们 所 经 历 过 的 网 络 安全 问题 ， 也 只 是 经 历 了 其 中 的 部 分 情 
况 ， 不 太 可 能 经 历 全 部 情况 。 所 以 我 们 在 做 安全 问题 假设 的 时 候 很 有 可 能 考虑 不 周 ， 这 也 
是 引发 安全 问题 的 一 大 原因 。 

(5) 无 知 

计算 机 网 络 安全 知识 广泛 而 且 复杂 ， 即 使 对 于 专业 的 网 络 安全 人 员 也 不 可 能 面面俱到 
地 了 解 ， 对 于 普通 的 计算 机 使 用 者 来 说 ， 就 更 不 可 能 完全 依靠 自己 来 解决 相关 的 安全 问题 
了 ,所 以 需要 平时 不 断 地 学 习 和 丰富 网 络 安全 知识 , 在 必要 的 时 候 多 向 相关 专业 人 员 请 教 ， 
而 不 是 跟着 感觉 走 。 

(6) 未 能 保持 最 新 

系统 软件 和 应 用 软件 都 是 一 个 逐步 完善 的 过 程 ， 特 别 是 计算 机 操作 系统 ， 随 着 时 间 的 
推移 ， 经 常会 有 新 的 漏洞 被 发 现 ， 开 发 厂商 会 对 新 的 漏洞 开发 相应 的 补丁 程序 ， 所 以 对 计 
算 机 用 户 而 言 ， 也 需要 及 时 安装 最 新 的 补丁 程序 ， 而 不 是 等 到 已 经 收 到 安全 威胁 以 后 再 去 
想 办 法 解决 。 
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6.2.2 为何 要 执行 安全 评估 

我 们 的 网 络 是 否 安全 ? 如 何 知 道 我 们 的 网 络 是 安全 的 ? 要 回答 这 两 个 问题 ， 唯 一 的 方 
法 就 是 通过 安全 评估 。 执 行 安全 评估 就 是 要 确定 网 络 是 否 安全 ， 都 存在 哪些 安全 隐患 ， 需 
要 采取 什么 样 的 措施 来 予以 解决 ， 主 要 包括 以 下 几 个 方面 。 

(1) 提供 一 个 基准 来 帮助 改善 安全 性 

由 于 计算 机 网 络 系统 的 复杂 性 ， 绝 对 的 安全 往往 是 不 存在 的 ， 这 就 要 求 我 们 根据 以 往 
的 经 验 来 确定 一 个 安全 的 标准 ， 并 对 目标 网 络 的 各 种 安全 状况 进行 审查 ， 对 于 不 符合 安全 
要 求 和 规范 的 项 目 ， 积 极 采取 有 效 措施 ， 消 除 安全 隐患 ， 只 有 消除 了 不 符合 安全 标准 的 项 
目 ， 才 能 提高 整个 网 络 的 安全 性 。 

(2) 查找 配置 错误 或 缺少 的 安全 更 新 

通过 安全 评估 ， 及 时 找 出 系统 中 存在 的 配置 错误 以 及 缺少 的 安全 更 新 ， 因 为 这 些 都 是 
系统 存在 的 安全 隐患 。 

(3) 揭露 出 组 织 安全 中 的 意外 缺陷 

计算 机 网 络 是 一 个 复杂 的 系统 ， 如 果 没 有 系统 全 面 地 进行 检查 过 ， 难 免 会 存在 没有 考 
虑 到 的 安全 问题 ， 这 些 问题 通常 在 发 生 安全 事故 以 后 才 被 发 现 。 而 安全 评估 要 做 的 就 是 通 
过 对 网 络 系统 进行 全 面 细 致 的 检查 ， 发 现 潜在 的 安全 威胁 ， 将 安全 问题 提前 解决 。 

(4) 确保 符合 法 规 

在 一 些 特殊 的 部 门 中 (比如 银行 、 政 府 部 门 和 军队 等 ) ， 对 计算 机 信息 安全 保密 具有 
严格 的 规定 和 要 求 。 但 由 于 种 种 原因 ， 可 能 存在 没有 严格 按照 规定 执行 ， 这 将 可 能 造成 网 
络 系统 的 严重 安全 威胁 ， 所 以 需要 通过 安全 评估 来 发 现 这 些 问 题 ， 并 解决 这 些 问题 。 
6.2.3 ”规划 安全 评估 

网 络 安全 评估 是 一 个 系统 的 过 程 ， 为 了 做 好 网 络 安全 评估 工作 ， 通 常 将 整个 过 程 划分 
为 以 下 几 个 步 又， 下 面 我 们 对 这 几 个 步骤 做 一 个 简要 的 说 明 。 

(1) 预 评估 

预 评估 可 以 看 作 是 网 络 安全 评估 的 准备 工作 ， 需 要 确定 的 内 容 包 括 范围 、 目 标 、 时 间 
线 、 基 本 规则 等 。 范 围 是 指 需要 进行 安全 评估 的 网 络 范围 ， 比 如 是 整个 网 络 还 是 部 分 子 网 
等 ， 目 标 是 指 通过 此 次 评估 需要 解决 哪些 安全 问题 ， 比 如 为 了 确认 某 个 漏洞 是 否 已 经 被 修 
复 ; 时 间 线 是 指 在 网 络 上 进行 安全 评估 的 时 间 范 围 ， 比 如 是 选择 休息 时 间 还 是 工作 时 间 
基本 规则 是 指使 用 什么 样 的 方式 和 方法 来 达到 安全 评估 的 目的 ， 比 如 是 直接 通过 扫描 还 是 
突破 测试 。 

(2) 评估 

在 做 好 评估 准备 工作 以 后 ， 就 可 以 开始 选择 评估 技术 ， 比 如 扫描 技术 、 网 络 攻击 技术 、 
入 侵 检测 技术 等 ， 然 后 执行 评估 ， 组 织 评估 结果 。 

(3) 准备 结果 

将 评估 过 程 中 发 现 的 缺陷 所 带 来 的 风险 进行 评估 ， 制 定 补救 计划 ， 确 定 尚未 纠正 的 漏 
洞 ， 确 定 一 段 时 间 内 的 网 络 安全 改进 ， 将 所 有 这 些 内 容 形成 网 络 安全 评估 报告 。 
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(4) 报告 评估 结果 

向 相关 负责 人 提供 评估 报告 ， 为 领导 在 改进 网 络 安 全 方面 提供 依据 ， 以 便 及 时 采取 行 
动 ， 修 正 已 经 发 现 的 网 络 安全 漏洞 ， 并 为 下 一 次 安全 评估 做 准备 。 
6.2.4 安全 评估 范围 

确定 安全 评估 范围 是 安全 评估 准备 工作 的 重要 组 成 部 分 之 一 ， 只 有 确定 了 安全 评估 的 
范围 ， 安 全 评估 工作 才 具 有 现实 意义 ， 下 面 以 一 个 具体 的 例子 来 说 明 。 

(1) 目标 

如 运行 以 下 操作 系统 的 所 有 服务 器 ，Windows 2000 Server，Windows 2003 Server， 范 
围 描述 中 指出 了 两 个 条 件 ， 一 个 是 操作 系统 的 版 本 ， 另 一 个 要 求 是 服务 器 。 

(2) 区 域 范 围 

如 以 下 字段 中 的 所 有 服务 器 ，192.168.0.1/24，192.168.1.1/24， 区 域 范围 描述 确定 了 是 
两 个 网 段 中 的 计算 机 ， 而 不 是 整个 网 络 。 

(3) 时 间 线 

如 扫描 将 在 6 月 3 日 到 6 月 10 日 的 非 重要 工作 时 间 进 行 。 时 间 线 指定 了 两 个 条 件 , 一 
个 是 执行 评估 的 时 间 范 围 ， 另 一 个 是 执行 评估 与 工作 重要 程度 的 关系 。 

(4) 要 扫描 的 漏洞 

比如 RPC-over-DCOM 漏洞 (MS03-026) 、 匿 名 SAM 枚 举 、 启 用 Guest 账户 和 本 地 
Administrator 组 中 多 余 10 个 的 账户 ， 确 定 了 需要 扫描 的 漏洞 是 这 些 ， 而 不 是 其 他 的 。 
6.2.5 ”安全 评估 目标 

确定 安全 评估 范围 是 安全 评估 准备 工作 的 重要 组 成 部 分 之 一 ， 只 有 明确 的 目标 才能 
半 功 倍 。 下 面 我 们 举例 说 明 。 

(1) 项 目 目标 

将 对 子 网 192.168.0.1/24 和 192.168.1.1/24 中 所 有 运行 Windows 2000 Server 和 Windows 
2003 Server 的 计算 机 进行 扫描 ， 以 查找 以 下 漏洞 ， 并 按照 所 述 方式 加 以 修正 。 

(2) 漏洞 及 补救 措施 如 表 6-1 所 示 。 

表 6-1 漏洞 与 补救 措施 


漏 油 补救 措施 
RPC-over-DCOM 漏洞 (MS03-026) 安装 Windows 安全 更 新 03-026 和 03-39 
匿名 SAM 枚 举 将 RestrictAnonymous 配置 为 2〈 在 Windows 2000 
Server 上 ) 或 1 (在 Windows 2003 Server) 
启用 Guest 账户 禁用 Guest 账户 


本 地 Administrator 组 中 多 余 10 个 的 账户 
6.2.6 ”安全 评估 的 类 型 


网 络 安全 评估 主要 包括 以 下 三 种 类 型 ， 分 别针 对 三 种 不 同 的 安全 问题 ， 下 面 做 一 个 简 
单 的 介绍 。 


将 管理 员 组 中 的 账户 数 减 至 最 小 
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(1) 漏洞 扫描 

漏洞 扫描 侧重 于 已 知 缺陷 ， 通 过 专门 的 漏洞 扫描 工具 来 完成 ， 可 以 自动 进行 ， 不 一 定 
需要 专业 知识 。 

(2) 突破 测试 

突破 测试 侧重 于 已 知 和 未 知 的 缺陷 ， 通 过 模拟 攻击 者 对 网 络 进行 攻击 ， 不 但 需要 工具 
的 配合 ， 还 需要 测试 者 具有 丰富 的 攻击 知识 以 及 熟练 的 操作 技能 ， 但 是 攻击 测试 需要 取得 
相关 单位 和 部 门 的 同意 后 才能 进行 ， 否 则 非法 的 攻击 是 被 禁止 的 ， 甚 至 会 承担 法 律 责任 。 

(3) IT 安全 审核 

安全 审核 侧重 于 安全 策略 和 过 程 ， 主 要 是 检查 安全 策略 是 否 如 实 落实 到 位 以 及 是 否 存 
在 违背 安全 规范 的 行为 ， 用 于 给 行为 规范 提供 证 据 。 对 于 违反 安全 策略 的 行为 予以 制止 和 
纠正 ， 并 追究 相关 人 员 的 责任 ， 避 免 类 似 情况 的 再 次 发 生 。 


6.2.7 ”使 用 漏洞 扫描 来 评估 网 络 安全 


漏洞 扫描 是 常见 的 网 络 安全 评估 技术 之 一 ， 使 用 漏洞 扫描 来 评估 网 络 安全 的 基本 思路 
是 先 假设 系统 存在 某 些 漏洞 ， 然 后 再 进行 扫描 确认 ， 最 后 指出 改进 方法 ， 一 般 需 要 执行 以 
下 几 个 步 又 。 

(1) 检测 漏洞 

检测 漏洞 就 是 对 假设 存在 的 漏洞 进行 确认 的 过 程 ， 即 使 用 扫描 工具 对 网 络 进行 扫描 ， 
以 确认 假设 的 漏洞 是 否 确实 存在 。 

(2) 为 找到 的 漏洞 分 配 风 险 级 别 

通常 情况 下 ， 对 于 一 个 网 络 系统 都 会 存在 多 种 多 样 的 漏洞 ， 尤 其 是 对 于 管理 还 不 够 完 
善 的 计算 机 网 络 系统 更 是 如 此 ， 如 果 每 个 安全 漏洞 都 同样 对 竺 的话， 一 方面 没有 必要 ， 另 
一 方面 也 是 不 合理 的 ， 所 以 需要 为 各 种 安全 漏洞 确定 一 个 风险 级 别 ， 以 确定 其 重要 性 和 危 
险 性 ， 为 后 续 采取 安全 措施 的 优先 次 序 提供 参考 。 

(3) 确定 尚未 纠正 的 漏洞 

网 络 安全 漏洞 的 发 现 和 纠正 都 是 一 个 循序 渐进 的 过 程 ， 所 以 我 们 发 现 的 漏洞 有 的 可 能 
在 之 前 被 修复 了 ， 而 有 的 却 没有 ， 我 们 需要 进一步 确定 。 

(4) 确定 一 段 时 间 内 的 网 络 安全 改进 

既然 知道 了 网 络 中 存在 哪些 安全 漏洞 ， 也 清楚 了 它们 的 重要 性 和 危险 性 ， 那 么 就 应 该 
指定 纠正 和 改进 的 具体 方法 和 措施 了 ， 只 有 对 发 现 的、 尚未 纠正 的 措施 进行 纠正 ， 网 络 安 
全 才能 得 到 切实 解决 。 
6.2.8 使 用 突破 测试 来 评估 网 络 安全 

突破 测试 也 是 常见 网 络 安全 评估 的 主要 技术 之 一 ， 突 破 测试 就 是 模拟 网 络 攻击 ， 从 这 
个 过 程 中 发 现 网 络 的 安全 漏洞 ， 一 次 成 功 的 突破 测试 的 步骤 包括 : 

(1) 确定 攻击 者 将 最 可 能 如 何 着 手 攻 击 网 络 或 应 用 程序 ; 

(2) 找到 网 络 或 应 用 程序 防御 中 的 缺陷 区 域 ; 

(3) 确定 攻击 者 可 能 会 如 何 利用 缺陷 ; 

(4) 找到 可 能 被 访问 、 更 改 或 破坏 的 资产 ; 
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(5) 确定 攻击 是 否 被 检测 到 ; 

(6) 确定 攻击 痕迹 的 特征 ; 

(7) 提出 防止 此 类 攻击 的 建议 。 
6.2.9 安全 审核 的 组 成 部 分 

安全 审核 贯穿 于 安全 评估 的 整个 过 程 ， 目 的 在 于 确保 安全 评估 过 程 的 前 后 一 致 性 。 即 
安全 策略 中 要 求 做 的 事情 ， 都 在 后 续 的 过 程 中 得 到 了 明确 的 体现 ， 而 且 在 执行 的 时 候 做 了 
切实 的 执行 。 

安全 审核 体现 在 策略 、 过 程 、 技 术 、 实 施 、 文 档 和 操作 中 ， 在 这 些 步 又 中 ， 将 每 个 步 
又 所 应 该 做 的 和 已 经 做 了 的 进行 比较 ， 确 认 存在 的 差距 和 不 足 。 安 全 审核 就 在 于 找 出 安全 
评估 过 程 中 的 不 足 之 处 ， 使 得 整个 安全 评估 过 程 能 够 更 加 完善 、 更 加 真实 。 安 全 评估 中 一 
个 重要 的 方面 不 是 没有 想到 ， 而 是 想到 了 但 是 没有 采取 措施 ， 即 通常 的 前 后 不 一 致 ， 通 过 
安全 审核 ， 可 以 有 效 地 发 现 这 些 问 题 并 加 以 解决 ， 这 是 安全 审核 的 一 个 重要 作用 。 
6.2.10 ”报告 安全 评估 结果 

通过 安全 评估 ， 发 现 了 网 络 中 存在 的 安全 漏洞 以 及 危险 程度 ， 确 定 了 安全 漏洞 的 解决 
方法 ， 现 在 需要 对 这 些 内 容 进行 整理 ， 形 成 一 个 安全 评估 报告 。 具 体 的 步骤 如 下 。 

(1) 定义 漏洞 ; 

(2) 记录 缓解 计划 ; 

(3) 确定 应 在 何 处 进行 修改 ; 

(4) 指派 实施 已 批准 建议 的 责任 ; 

(5) 为 下 一 次 安全 评估 建议 一 个 时 间 。 

安全 评估 是 实施 内 网 安全 系统 建设 的 基础 ， 在 评估 过 程 中 可 以 深刻 理解 内 网 安全 管理 
的 目标 、 全 面 掌握 内 网 安全 现状 、 及 时 发 现 各 类 安全 隐患 。 


6.3 网络 系统 安全 风险 分 析 


针对 企业 局 域 网 中 存在 的 安全 隐患 ， 在 进行 安全 方案 设计 时 ， 下 述 安 全 风险 必须 要 认 
真 考虑 ， 并 且 要 针对 面临 的 风险 ， 采 取 相 应 的 安全 措施 。 下 述 风险 由 多 种 因素 引起 ， 与 企 
业 局 域 网 结构 和 系统 的 应 用 、 局 域 网 内 网 络 服务 器 的 可 靠 性 等 因素 密切 相关 。 下 面 列 出 这 
类 风险 因素 。 

网 络 安全 可 从 以 下 5 个 方面 来 理解 : 

(1) 网 络 物理 是 否 安全 ; 

(2) 网 络 平台 是 否 安全 ; 

(3) 系统 是 否 安全 ; 

(4) 应 用 是 否 安全 ; 

(5) 管理 是 否 安全 。 

针对 每 一 类 安全 风险 ， 结 合 企业 局 域 网 的 实际 情况 ， 我 们 将 具体 地 分 析 网 络 的 安全 
风险 。 


- 
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6.3.1 物理 安全 风险 分 析 


网 络 的 物理 安全 的 风险 是 多 种 多 样 的 。 

(1) 网 络 的 物理 安全 主要 是 指 地 震 、 水 灾 、 火 灾 等 环境 事故 

(2) 电源 故障 ; 

(3) 人 为 操作 失误 或 错误 ; 

(4) 设备 被 盗 、 被 毁 ; 

(5) 电磁 干扰 ; 

(6) 线路 截获 。 

真正 做 好 物理 安全 风险 的 防范 工作 ， 比 如 采用 高 可 用 性 的 硬件 、 双 机 多 宛 余 的 设计 、 
机 房 环境 及 报警 系统 、 提 高 安全 意识 等 。 做 好 物理 安全 风险 的 防范 工作 是 整个 网 络 系统 安 
全 的 前 提 ， 在 企业 局 域 网 内 ， 如 果 网 络 的 物理 跨度 不 大 ， 只 要 制定 健全 的 安全 管理 制度 ， 
做 好 备份 ， 并 且 加 强 网 络 设备 和 机 房 的 管理 ， 这 些 风 险 是 可 以 避免 的 。 


6.3.2 网络 平台 的 安全 风险 分 析 


网 络 平台 的 安全 涉及 到 网 络 拓扑 结构 、 网 络 路 由 状况 及 网 络 的 环境 等 。 

(1) 整个 网 络 结构 和 路 由 状况 

安全 的 应 用 往往 是 建立 在 网 络 系统 之 上 的 。 网 络 系统 的 成 熟 与 否 直接 影响 安全 系统 的 
成 功 建设 。 在 企业 局 域 网 络 系统 中 ， 使 用 一 台 路 由 器 ， 用 作 与 Internet 连接 的 边界 路 由 器 ， 
网 络 结构 相对 简单 ， 具 体 配置 时 可 以 考虑 使 用 静态 路 由 ， 这 就 大 大 减少 了 因 网 络 结构 和 网 
络 路 由 造成 的 安全 风险 。 

(2) 公开 服务 器 面临 的 威胁 

企业 局 域 网 内 公开 服务 器 区 “WWW、EMAIL 等 服务 器 ) 作为 公司 的 信息 发 布 平台 ， 
一 旦 不 能 运行 或 者 受到 攻击 ,对 企业 的 声誉 影响 巨大 。 同 时 公开 服务 器 本 身 要 为 外 界 服务 ， 
必须 开放 相应 的 服务 ; 每天， 黑客 都 在 试图 疤 入 Internet 节点 ， 这 些 节 点 如 果 不 保持 警惕 ， 
可 能 连 黑 客 怎么 闻 入 的 都 不 知道 ， 甚 至 会 成 为 黑客 入 侵 其 他 站 点 的 跳板 。 因 此 ， 对 规模 比 
较 大 的 网 络 , 网 络 管理 人 员 对 Intemet 安全 事故 做 出 有 效 反 应 变 得 十 分 重要 。 有 必要 将 公开 
服务 器 、 内 部 网 络 与 外 部 网 络 进行 隔离 ， 避 免 网 络 结构 信息 外 泄 ， 同 时 还 要 对 外 网 的 服务 
请 求 加 以 过 滤 ， 只 人 允许 正常 通信 的 数据 包 到 达 相 应 主机 ， 其 他 的 请 求 服务 在 到 达 主 机 之 前 
就 应 该 遭 到 拒绝 。 


6.3.3 ”系统 的 安全 风险 分 析 


所 谓 系统 的 安全 显而易见 是 指 整个 局 域 网 网 络 操作 系统 、 网 络 硬件 平台 是 否 可 靠 且 值 
得 信任 。 

对 于 中 国 来 说 ,恐怕 没有 绝对 安全 的 操作 系统 可 以 选择 ,无 论 是 Microsoft 的 Windows 
NT 或 者 其 他 任何 商用 UNIX 操作 系统 ， 其 开发 厂商 都 可 能 存在 其 Back-Door。 可 以 这 样 
讲 ， 没 有 完全 安全 的 操作 系统 。 但 是 ， 可 以 对 现 有 的 操作 平台 进行 安全 配置 、 对 操作 和 
访问 权限 进行 严格 控制 ， 提 高 系统 的 安全 性 。 因 此 ， 不 但 要 选用 尽 可 能 可 靠 的 操作 系统 
和 硬件 平台 。 而 且 ， 必 须 加 强 登录 过 程 的 认证 〈 特 别 是 在 到 达 服 务 器 主机 之 前 的 认证 ) ， 
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确保 用 户 的 合法 性 ， 其 次 应 该 严格 限制 登录 者 的 操作 权限 ， 将 其 完成 的 操作 限制 在 最 小 
的 范围 内 。 


6.3.4 应 用 的 安全 风险 分 析 


应 用 系统 的 安全 跟 具 体 的 应 用 有 关 ， 它 涉及 很 多 方面 。 应 用 系统 的 安全 是 动态 的 、 不 
断 变 化 的 。 应 用 的 安全 性 也 涉及 到 信息 的 安全 性 ， 它 包括 很 多 方面 。 

(1) 应 用 系统 的 安全 是 动态 的 、 不 断 变化 的 

应 用 的 安全 涉及 面 很 广 ， 以 目前 Intemet 上 应 用 最 为 广泛 的 E-mail 系统 来 说 ， 其 解决 
方案 有 几 十 种 , 但 其 系统 内 部 的 编码 甚至 编译 器 导致 的 BUG 是 很 少 有 人 能 够 发 现 的 , 因此 
一 套 详尽 的 测试 软件 是 相当 必要 的 。 但 是 应 用 系统 是 不 断 发 展 且 应 用 类 型 是 不 断 增加 的 ， 
其 结果 是 安全 漏洞 也 是 不 断 增加 且 隐 藏 越 来 越 深 。 因 此 ， 保 证 应 用 系统 的 安全 也 是 一 个 随 
着 网 络 发 展 而 不 断 完善 的 过 程 。 

(2) 应 用 的 安全 性 涉及 到 信息 、 数 据 的 安全 性 

舍 息 的 安全 性 涉及 到 机 密 信息 泄露 、 未 经 授权 的 访问 、 破 坏 信息 完整 性 、 假 冒 、 破 坏 
系统 的 可 用 性 等 。 由 于 企业 局 域 网 一 般 跨度 不 大 ， 绝 大 部 分 重要 信息 都 在 内 部 传递 ， 因 此 
信息 的 机 密 性 和 完整 性 是 可 以 保证 的 .对 于 有 些 特别 重要 的 信息 需要 对 内 部 进行 保密 的 ( 比 
如 领导 子 网 、 财 务 系统 传递 的 重要 信息 ) 可 以 考虑 在 应 用 级 进行 加 密 ， 针 对 具体 的 应 用 直 
接 在 应 用 系统 开发 时 进行 加 密 。 


6.3.5 ”管理 的 安全 风险 分 析 


管理 是 网 络 中 安全 最 最 重要 的 部 分 。 责 权 不 明 、 管 理 混 乱 、 安 全 管理 制度 不 健全 及 缺 
乏 可 操作 性 等 都 可 能 引起 管理 安全 的 风险 。 责 权 不 明 ， 管 理 混乱 ， 使 得 一 些 员工 或 管理 员 
随便 让 一 些 非 本 地 员工 甚至 外 来 人 员 进 入 机 房 重地 ， 或 者 员工 有 意 无 意 泄露 他 们 所 知道 的 
一 些 重要 信息 ， 而 管理 上 却 没 有 相应 制度 来 约束 。 

当 网 络 出 现 攻 击 行为 或 网 络 受到 其 他 一 些 安全 威胁 时 (如 内 部 人 员 的 违规 操作 等 )， 
无 法 进行 实时 的 检测 、 监 控 、 报 告 与 预警 。 同 时 ， 当 事故 发 生 后 ， 也 无 法 提供 黑客 攻击 行 
为 的 追踪 线索 及 破案 依据 ， 即 缺乏 对 网 络 的 可 控 性 与 可 审查 性 。 这 就 要 求 我 们 必须 对 站 点 
的 访问 活动 进行 多 层次 的 记录 ， 及 时 发 现 非法 入 侵 行 为 。 

建立 全 新 网 络 安全 机 制 ， 必 须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 ， 因 此 ， 最 可 行 
的 做 法 是 管理 制度 和 管理 解决 方案 的 结合 。 
6.3.6 ”黑客 攻击 

黑客 们 的 攻击 行动 是 无 时 无 刻 不 在 进行 的 ， 而 且 会 利用 系统 和 管理 上 的 一 切 可 能 利用 
的 漏洞 。 公 开 服 务 器 存在 漏洞 就 是 一 个 典型 例证 ， 黑 客 可 以 轻易 地 骗 过 公开 服务 器 软件 ， 
得 到 UNIX 的 口令 文件 并 将 之 送 回 。 黑 客 侵 入 UNIX 服务 器 后 ， 有 可 能 修改 特权 ， 从 普通 
用 户 变 为 高 级 用 户 ， 一 旦 成 功 ， 黑 客 可 以 直接 进入 口令 文件 。 黑 客 还 能 开发 欺骗 程序 ， 将 
其 装 入 UNIX 服务 器 中 ， 用 以 监听 登录 会 话 。 当 它 发 现 有 用 户 登 录 时 ， 便 开始 存储 一 个 文 
件 ， 这 样 黑 客 就 拥有 了 他 人 的 账户 和 口令 。 这 时 为 了 防止 黑客 ， 需 要 设置 公开 服务 器 ， 使 
得 它 不 离开 自己 的 空间 而 进入 另外 的 目录 。 另 外 ， 还 应 设置 组 特权 ， 不 允许 任何 使 用 公开 
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服务 器 的 人 访问 WWW 页 面 文件 以 外 的 东西 。 在 企业 的 局 域 网 内 我 们 可 以 综合 采用 防火 墙 
技术 、Web 页 面 保护 技术 、 入 侵 检测 技术 、 安 全 评估 技术 来 保护 网 络 内 的 信息 资源 ， 防 止 
黑客 攻击 。 


6.3.7 ”通用 网 关 接口 (CGI) 漏洞 


有 一 类 风险 涉及 通用 网 关 接 口 (CGI) 脚本 。 许 多 页 面 文件 和 指向 其 他 页 面 或 站 点 的 
超 链接 。 然 而 有 些 站 点 用 到 这 些 超 链接 所 指 站 点 寻找 特定 信息 。 搜 索引 擎 是 通过 CGI 脚 
本 执行 的 方式 实现 的 。 黑 客 可 以 修改 这 些 CGI 脚本 以 执行 他 们 的 非法 任务 。 通 常 ， 这 些 
CGI 脚本 只 能 在 这 些 所 指 WWW 服务 器 中 寻找 ， 但 如 果 进 行 一 些 修改 ， 他 们 就 可 以 在 
WWW 服务 器 之 外 进行 寻找 。 要 防止 这 类 问题 发 生 ， 应 将 这 些 CGI 脚本 设置 为 较 低 级 用 
户 特权 ， 提 高 系统 的 抗 破坏 能 力 ， 提 高 服务 器 备份 与 恢复 能 力 ， 提 高 站 点 内 容 的 防 自 改 
与 自动 修复 能 力 。 


6.3.8 恶意 代码 


恶意 代码 不 限于 病毒 ， 还 包括 蠕虫 、 特 洛 伊 木 马 、 轴 辑 炸弹 和 其 他 未 经 同意 的 软件 。 
应 该 加 强 对 恶意 代码 的 检测 。 


6.3.9 ”病毒 的 攻击 


计算 机 病毒 一 直 是 计算 机 安全 的 主要 威胁 之 一 。 能 在 Intemet 上 传播 的 新 型 病毒 , 例如 
通过 E-Mail 传播 的 病毒 ， 增 加 了 这 种 威胁 的 程度 。 病 毒 的 种 类 和 传染 方式 也 在 增加 ， 国 际 
空间 的 病毒 总 数 已 达 上 万 甚至 更 多 。 当 然 ， 查 看 文档 、 浏 览 图 像 或 在 Web 上 填 表 都 不 用 担 
心病 毒 感染 ， 然 而 ， 下 载 可 执行 文件 和 接收 来 历 不 明 的 E-Mail 文件 需要 特别 警惕 ， 和 否则 很 
容易 使 系统 导致 严重 的 破坏 。 典 型 的 “CIH” 病 毒 就 是 一 可 怕 的 例子 。 

6.3.10 人员 的 安全 风险 分 析 

FBI 和 CSI 在 2002 年 对 484 家 公司 进行 了 网 络 安全 专项 调查 , 调查 结果 显示 :超过 85% 
的 安全 威胁 来 自 公 司 内 部 ， 有 16% 来 自 内 部 未 授权 的 存 取 ， 有 14% 来 自 专利 信息 被 窃取 
有 12% 来 自 内 部 人 员 的 财务 欺骗 ， 而 只 有 5% 是 来 自 黑客 的 攻击 ; 在 损失 金额 上 ， 由 于 内 
部 人 员 泄密 导致 了 60,565,000 美元 的 损失 , 是 黑客 所 造成 损失 的 16 倍 ， 病 毒 所 造成 损失 的 
12 倍 。 这 组 数据 充分 说 明了 内 部 人 员 安 全 风险 的 严重 危害 ， 同 时 也 提醒 人 们 应 加 强 网 络 内 
部 安全 建设 。 

内 部 人 员 造 成 的 危害 如 此 巨大 ， 为 什么 媒体 披露 的 却 比 较 少 呢 ? 这 是 因为 黑客 带 来 的 
危害 是 比较 公开 的 ， 例 如 算 改 主页 ， 拒 绝 服 务 攻击 、 网 络 钓鱼 、 编 写 并 传播 病毒 等 黑客 行 
为 ， 这 些 行为 造成 的 后 果 影 响 的 面 比较 广 ， 因 此 媒体 得 到 这 些 信息 也 比较 便捷 ， 曝 光 率 也 
就 比较 高 。 相 比 黑客 入 侵 ， 内 部 人 员 的 破坏 行为 往往 具有 隐蔽 性 ， 另 外 有 些 单位 怕 曝 光 后 
对 社会 影响 不 好 ， 影 响 单 位 声誉 ， 因 此 不 愿意 向 社会 透露 。 

1. 不 满 的 内 部 员工 

不 满 的 内 部 员工 可 能 在 WWW 站 点 上 开 些小 玩笑 ， 甚 至 破坏 。 不 论 如 何 ， 他 们 最 熟悉 
服务 器 、 小 程序 、 脚 本 和 系统 的 弱点 。 对 于 已 经 离职 的 不 满员 工 ， 可 以 通过 定期 改变 口令 
和 删除 系统 记录 以 减少 这 类 风险 。 但 还 有 心怀 不 满 的 在 职员 工 ， 这 些 员 工 比 已 经 离开 的 员 
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工 能 造成 更 大 的 损失 ， 例 如 他 们 可 以 传 出 至 关 重 要 的 信息 、 泄 露 安全 重要 信息 、 错 误 地 进 
入 数据 库 、 删 除数 据 等 等 。 

2. 内 贼 和 商业 间谍 

信息 社会 ， 信 息 就 是 价值 ， 信 息 就 是 生产 力 。I 技术 的 发 展 使 得 人 们 获取 信息 的 速度 
日 益 加 快 ， 这 也 给 犯罪 分 子 提供 了 便利 ， 通 过 一 个 器 盘 ， 几 分 钟 的 时 间 就 可 以 拷 走 上 百 兆 
的 资料 ,而 这 些 资料 可 能 价值 不 菲 ， 因 此 说 一 分 钟 损失 几 千 万 ， 上 亿 元 绝对 不 是 危 言 答 听 。 
所 以 ， 我 们 在 安全 建设 上 既 要 防止 外 部 攻击 ， 也 要 防止 内 部 破坏 和 泄密 。 

如 果 内 部 网 络 的 监控 管理 不 到 位 ， 就 会 有 许多 漏洞 可 以 被 内 部 人 员 所 利用 以 便 窃取 资 
料 ， 目 前 来 看 ， 内 部 泄密 主要 是 通过 如 下 途径 。 

(1) 将 资料 通过 软盘 、U 盘 或 移动 硬盘 从 计算 机 中 拷 出 带 走 

(2) 内 部 人 员 通 过 互联 网 将 资料 通过 电子 邮件 发 送 到 自己 的 邮箱 ; 

(3) 将 文件 打印 后 带 出 ; 

(4) 将 公用 便携 式 计算 机 直接 带 回 家 中 ; 

(5) 拆卸 公司 计算 机 上 的 硬盘 带 回 家 中 ; 

(6) 公用 便携 式 计算 机 易手 后 ， 硬 盘 上 的 资料 没有 处 理 ， 导 致 泄密 ; 

(7) 随意 将 文件 设 成 共享 ， 导 致 非 相 关 人 员 获 取 资 料 

(8) 移动 存储 设备 共用 ， 导 致 非 相关 人 员 获 取 资 料 ; 

(9) 将 自己 的 笔记 本 带 到 公司 ， 连 上 局 域 网 ， 窃 取 资 料 ; 

(10) 乘 同事 不 在 ， 开 启 同事 计算 机 ， 浏 览 、 复 制 同事 计算 机 里 的 资料 。 

此 外 ， 还 有 很 多 其 他 途径 可 以 被 别有用心 的 内 部 人 员 利 用 以 窃取 资料 。 可 以 这 样 讲 ， 
对 于 一 个 没有 安全 管理 的 企业 局 域 网 来 讲 ， 就 像 散 落 在 大 街 上 的 钱币 一 样 ， 虽 然 有 很 多 有 
价值 的 资料 ， 但 毫 无 安全 可 言 。 

那么 如 何 才能 解决 内 部 人 员 泄 密 问 题 呢 ? 这 就 要 求 组 织 配 置 必要 的 技术 装备 ， 另 一 方 
面 也 要 加 强 管理 ， 做 好 内 部 人 员 的 保密 教育 ， 法 制 教育 。“ 技 术 与 管理 ”并 重 ， 才 能 从 根 
本 上 杜绝 内 部 人 员 泄 密 。 

在 技术 上 ， 目 前 有 许多 产品 可 以 对 内 部 人 员 计 算 机 操作 行为 进行 审计 。 在 管理 上 ， 防 
范 内 部 人 员 泄 密 要 做 到 以 下 几 点 。 

(1) 建立 一 整套 规范 的 安全 保密 制度 并 严格 执行 

(2) 要 加 强 员工 的 保密 教育 ， 使 他 们 认识 到 保密 工作 的 重要 意义 ; 

(3) 要 有 奖惩 制度 ， 对 保密 先进 个 人 、 单 位 予以 嘉奖 ， 对 于 泄密 事故 加 大 惩处 力度 ， 
做 到 以 做 效 尤 。 
6.3.11 网络 的 攻击 手段 


一 般 认为 ， 目 前 对 网 络 的 攻击 手段 主要 表现 在 以 下 几 方 面 。 

(1) 非 授 权 访问 

非 授 权 访 问 是 指 没有 预先 经 过 同意 ， 就 使 用 网 络 或 计算 机 资源 被 看 作 非 授权 访问 ， 如 
有 意 避 开 系统 访问 控制 机 制 ， 对 网 络 设备 及 资源 进行 非 正常 使 用 ， 或 擅自 扩大 权限 ， 越 权 
访问 信息 。 它 主要 有 以 下 几 种 形式 : 假冒 ， 身 份 攻击 ， 非 法 用 户 进 入 网 络 系统 进行 违法 操 
作 ， 合 法 用 户 以 未 授权 方式 进行 操作 等 。 
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(2) 信息 泄露 或 丢失 

信息 泄露 或 丢失 指 敏感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 ， 它 通常 包括 ， 信 息 在 
传输 中 丢失 或 泄露 (如 “黑客 ” 们 利用 电磁 泄漏 或 搭 线 窃听 等 方式 可 截获 机 密 信息 ， 或 通 
过 对 信息 流向 、 流 量 、 通 信 频 度 和 长 度 等 参数 的 分 析 ， 推 出 有 用 信息 ， 如 用 户口 令 、 账 号 
等 重要 信息 ) ， 信 息 在 存储 介质 中 丢失 或 泄露 ， 通 过 建立 隐蔽 隧道 等 窃取 敏感 信息 等 。 

(3) 破坏 数据 完整 性 

破坏 数据 完整 性 是 以 非法 手段 穷 得 对 数据 的 使 用 权 ， 删 除 、 修 改 、 插 入 或 重 发 某 些 重 
要 信息 ， 以 取得 有 益 于 攻击 者 的 响应 ;恶意 添加 ， 修 改 数据 ， 以 干扰 用 户 的 正常 使 用 。 

(4) 拒绝 服务 攻击 

拒绝 服务 攻击 就 是 不 断 对 网 络 服务 系统 进行 干扰 ， 改 变 其 正常 的 作业 流程 ， 执 行 无 关 
程序 使 系统 响应 减 慢 甚 至 瘫痪 ， 影 响 正 常用 户 的 使 用 ， 甚 至 使 合法 用 户 被 排斥 而 不 能 进入 
计算 机 网 络 系统 或 不 能 得 到 相应 的 服务 。 

(5) 利用 网 络 传播 病毒 

通过 网 络 传播 计算 机 病毒 ， 其 破坏 性 大 大 高 于 单机 系统 ， 而 且 用 户 很 难 防范 。 


6.4 安全 需求 与 安全 目标 


二 | 


6.4.1 安全 需求 分 析 


通过 前 面 对 企 业 局 域 网 络 结构 、 应 用 及 安全 威胁 分 析 ， 可 以 看 出 其 安全 问题 主要 集中 
在 对 服务 器 的 安全 保护 、 防 黑客 和 病毒 、 重 要 网 段 的 保护 以 及 管理 安全 上 。 因 此 ， 我 们 必 
须 采 取 相 应 的 安全 措施 杜绝 安全 隐患 ， 其 中 应 该 做 到 : 

(1) 公开 服务 器 的 安全 保护 ; 

(2) 防止 黑客 从 外 部 攻击 ; 

(3) 入 侵 检 测 与 监控 ; 

(4) 信息 审计 与 记录 ; 

(5) 病毒 防护 ; 

(6) 数据 安全 保护 ; 

(7) 数据 备份 与 恢复 ; 

(8) 网 络 的 安全 管理 。 

针对 企业 局 域 网 系统 的 实际 情况 ， 在 系统 考虑 如 何 解决 上 述 安 全 问题 的 设计 时 应 满足 
如 下 要 求 : 

(1) 大 幅度 地 提高 系统 的 安全 性 (重点 是 可 用 性 和 可 控 性 〉; 

(2) 保持 网 络 原 有 的 特点 ， 即 对 网 络 的 协议 和 传输 具有 很 好 的 透明 性 ， 能 透明 接 入 ， 
无 需 更 改 网 络 设置 ; 

(3) 易于 操作 、 维 护 ， 并 便于 自动 化 管理 ， 而 不 增加 或 减少 附加 操作 ; 

(4) 尽量 不 影响 原 网 络 拓 扑 结 构 ， 同 时 便于 系统 及 系统 功能 的 扩展 ; 

(5) 安全 保密 系统 具有 较 好 的 性 能 价格 比 ， 一 次 性 投资 ， 可 以 长 期 使 用 ; 
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(6) 安全 产品 具有 合法 性 ， 及 经 过 国家 有 关 管 理 部 门 的 认可 或 认证 ; 

(7) 分 步 实 施 。 
6.4.2 ”网 络 安全 策略 

安全 策略 是 指 在 一 个 特定 的 环境 里 ， 为 保证 提供 一 定 级 别 的 安全 保护 所 必须 遵守 的 规 
则 。 该 安全 策略 模型 包括 了 建立 安全 环境 的 三 个 重要 组 成 部 分 。 

(1) 威严 的 法 律 

安全 的 基石 是 社会 法 律 、 法 规 与 手段 ， 这 部 分 用 于 建立 一 套 安全 管理 标准 和 方法 ， 即 
通过 建立 与 信息 安全 相关 的 法 律 、 法 规 ， 使 非法 分 子 慑 于 法 律 ， 不 敢 轻举妄动 。 

(2) 先进 的 技术 

先进 的 安全 技术 是 信息 安全 的 根本 保障 ， 用 户 对 自身 面临 的 威胁 进行 风险 评估 ， 决 定 
其 需要 的 安全 服务 种 类 ， 选 择 相应 的 安全 机 制 ， 然 后 集成 先进 的 安全 技术 。 

(3) 严格 的 管理 

各 网 络 使 用 机 构 、 企 业 和 单位 应 建立 相宜 的 信息 安全 管理 办 法 ， 加 强 内 部 管理 ， 建 立 
审计 和 跟踪 体系 ， 提 高 整体 信息 安全 意识 。 


6.4.3 ”系统 安全 目标 


基于 以 上 的 分 析 ， 我 们 认为 局 域 网 网 络 系统 安全 应 该 实现 以 下 目标 : 

(1) 建立 一 套 完 整 可 行 的 网 络 安全 与 网 络 管理 策略 ; 

(2) 将 内 部 网 络 、 公开 服务 器 网 络 和 外 网 进行 有 效 隔离, 避免 与 外 部 网 络 的 直接 通信 ; 

(3) 建立 网 站 各 主机 和 服务 器 的 安全 保护 措施 ， 保 证 他 们 的 系统 安全 

(4) 对 网 上 服务 请 求 内 容 进行 控制 ， 使 非法 访问 在 到 达 主 机 前 被 拒绝 ; 

(5) 加 强 合 法 用 户 的 访问 认证 ， 同 时 将 用 户 的 访问 权限 控制 在 最 低 限 度 ; 

(6) 全 面 监视 对 公开 服务 器 的 访问 ， 及 时 发 现 和 拒绝 不 安全 的 操作 和 黑客 攻击 行为 ; 

(7) 加 强 对 各 种 访问 的 审计 工作 ， 详 细 记 录 对 网 络 、 公 开 服务 器 的 访问 行为 ， 形 成 完 
整 的 系统 日 志 ; 

(8) 备份 与 灾难 恢复 一 一 强化 系统 备份 ， 实 现 系 统 快速 恢复 

(9) 加 强 网 络 安全 管理 ， 提 高 全 体 人 员 的 网 络 安全 意识 和 防范 技术 。 


6.5 ”网络 安全 方案 总 体 设计 


6.5.1 安全 方案 设计 原则 


在 对 企业 局 域 网 网 络 系统 安全 方案 设计 、 规 划 时 ， 应 遵循 以 下 原则 。 

(1) 综合 性 、 整 体 性 原则 

应 用 系统 工程 的 观点 、 方 法 ， 分 析 网 络 的 安全 及 具体 措施 。 安 全 措施 主要 包括 行政 法 
律 手段 、 各 种 管理 制度 (人 员 审 查 、 工 作 流程 、 维 护 保障 制度 等 ) 以 及 专业 措施 《识别 技 
术 、 存 取 控制 、 密 码 、 低 辐射 、 容 错 、 防 病毒 、 采 用 高 安全 产品 等 ) 。 一 个 较 好 的 安全 措 
施 往往 是 多 种 方法 适当 综合 的 应 用 结果 。 一 个 计算 机 网 络 ， 包 括 个 人 、 设 备 、 软 件 、 数 据 


第 6 章 ”局域网 安全 管理 159 


等 。 这 些 环节 在 网 络 中 的 地 位 和 影响 作用 ， 也 只 有 从 系统 综合 整体 的 角度 去 看 待 、 分 析 ， 
才能 取得 有 效 、 可 行 的 措施 ， 即 计算 机 网 络 安全 应 遵循 整体 安全 性 原则 ， 根 据 规定 的 安全 
策略 制定 出 合理 的 网 络 安全 体系 结构 。 

(2) 需求 、 风 险 、 代 价 平衡 的 原则 

对 任 一 网 络 ， 绝 对 安全 难以 达到 ， 也 不 一 定 是 必要 的 。 对 一 个 网 络 进行 实际 研究 〈 包 
括 任 务 、 性 能 、 结 构 、 可 靠 性 、 可 维护 性 等 ) ， 并 对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进 
行 定 性 与 定量 相 结合 的 分 析 ， 然 后 制定 规范 和 措施 ， 确 定 本 系统 的 安全 策略 。 

(3) 一 致 性 原则 

一 致 性 原则 主要 是 指 网 络 安全 问题 应 与 整个 网 络 的 工作 周期 (或 生命 周期 ) 同时 存在 ， 
制定 的 安全 体系 结构 必须 与 网 络 的 安全 需求 相 一 致 。 安 全 的 网 络 系统 设计 《包括 初步 或 详 
细 设 计 ) 及 实施 计划 、 网 络 验证 、 验 收 、 运 行 等 ， 都 要 有 安全 的 内 容 及 措施 。 实 际 上 ， 在 
网 络 建设 的 开始 就 考虑 网 络 安全 对 策 ， 比 在 网 络 建设 好 后 再 考虑 安全 措施 ， 不 但 容易 ， 且 
花费 也 小 得 多 。 

(4) 易 操 作 性 原则 

安全 措施 需要 人 为 去 完成 ， 如 果 措 施 过 于 复杂 ， 对 人 的 要 求 过 高 ， 本 身 就 降低 了 安全 
性 。 其 次 ， 措 施 的 采用 不 能 影响 系统 的 正常 运行 。 

(5) 分 步 实 施 原则 

由 于 网 络 系统 及 其 应 用 扩展 范围 广阔 ， 随 着 网 络 规模 的 扩大 及 应 用 的 增加 ， 网 络 脆弱 
性 也 会 不 断 增加 ， 一 劳 永 锡 地 解决 网 络 安全 问题 是 不 现实 的 ， 同 时 ， 由 于 实施 信息 安全 措 
施 需 要 相当 的 费用 支出 ， 因 此 分 步 实施 ， 即 可 满足 网 络 系统 及 信息 安全 的 基本 需求 ， 亦 可 
节省 费用 开支 。 

(6) 多 重 保护 原则 

任何 安全 措施 都 不 是 绝对 安全 的 ， 都 可 能 被 攻破 。 但 是 建立 一 个 多 重 保护 系统 ， 各 
保护 相互 补充 ， 当 一 层 保护 被 攻破 时 ， 其 他 层 保护 仍 可 保护 信息 的 安全 。 

(7) 可 评价 性 原则 

如 何 预先 评价 一 个 安全 设计 并 验证 其 网 络 的 安全 性 ， 这 需要 通过 国家 有 关 网 络 信息 安 
全 测评 认证 机 构 的 评估 来 实现 。 


6.5.2 ”安全 服务 、 安 全 机 制 与 安全 技术 


安全 服务 、 安 全 机 制 与 安全 技术 都 是 网 络 安全 方案 总 体 设计 中 必须 考虑 的 ， 下 面 对 它 
们 做 一 个 简单 的 介绍 。 

(1) 安全 服务 

安全 服务 主要 有 控制 服务 、 对 象 认证 服务 、 可 靠 性 服务 等 。 

(2) 安全 机 制 

访问 控制 机 制 、 认 证 机 制 等 。 

(3) 安全 技术 

防火 墙 技术 、 鉴 别 技术 、 审 计 监 控 技 术 、 病 毒 防治 技术 等 。 

在 安全 的 开放 环境 中 , 用 户 可 以 使 用 各 种 安全 应 用 。 安 全 应 用 由 一 些 安全 服务 来 实现 ; 
而 安全 服务 又 是 由 各 种 安全 机 制 或 安全 技术 来 实现 的 。 应 当 指出 ， 同 一 安全 机 制 有 时 也 可 
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以 用 于 实现 不 同 的 安全 服务 。 


6.6 网络 安 全 体系 结构 


通过 对 网 络 的 全 面 了 解 ， 按 照 安全 策略 的 要 求 、 风 险 分 析 的 结果 及 整个 网 络 的 安全 目 
标 ， 整 个 网 络 措施 应 按 系 统 体系 建立 。 具 体 的 安全 控制 系统 由 以 下 几 个 方面 组 成 : 物理 安 
全 、 网 络 安全 、 系 统 安 全 、 信 息 安全 、 应 用 安全 、 安 全 管理 、 用 户 安全 以 及 安全 审计 。 


6.6.1 物理 安全 


保证 计算 机 信息 系统 各 种 设备 的 物理 安全 是 整个 计算 机 信息 系统 安全 的 前 提 ， 物 理 安 
全 是 保护 计算 机 网 络 设备 、 设 施 以 及 其 他 媒体 免 草 地震、 水灾 、 火 灾 等 环境 事故 以 及 人 为 
操作 失误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 过 程 。 它 主要 包括 3 个 方面 : 

(1) 环境 安全 

对 系统 所 在 环境 的 安全 保护 , 如 区 域 保 护 和 灾难 保护 (参见 国家 标准 GB50173 一 93《 电 
子 计算 机 机 房 设计 规范 》、 国 标 GB2887 一 89《 计 算 站 场地 技术 条 件 》、GB9361 一 88《 计 
算 站 场地 安全 要 求 》) 。 

(2) 设备 安全 

主要 包括 设备 的 防盗 、 防 毁 、 防 电磁 信息 辐射 泄漏 、 防 止 线路 截获 、 抗 电磁 干扰 及 电 
源 保护 等 。 

(3) 媒体 安全 

包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 。 


6.6.2 网络 安全 


安全 系统 是 建立 在 网 络 系统 之 上 的 ， 网 络 结构 的 安全 是 安全 系统 成 功 建立 的 基础 。 在 
整个 网 络 结构 的 安全 方面 ， 主 要 考虑 网 络 结构 、 系 统 和 路 由 的 优化 。 

网 络 结构 的 建立 要 考虑 环境 、 设 备 配置 与 应 用 情况 、 远 程 联网 方式 、 通 信 量 的 估算 、 
网 络 维护 管理 、 网 络 应 用 与 业务 定位 等 因素 。 成 熟 的 网 络 结构 应 具有 开放 性 、 标 准 化 、 可 
靠 性 、 先 进 性 和 实用 性 ， 并 且 应 该 有 结构 化 的 设计 ， 充 分 利用 现 有 资源 ， 具 有 运营 管理 的 
简便 性 ， 完 善 的 安全 保障 体系 。 网 络 结构 采用 分 层 的 体系 结构 ， 有 利于 维护 管理 ， 有 利于 
更 高 的 安全 控制 和 业务 发 展 。 

网 络 结构 的 优化 ， 在 网 络 拓扑 上 主要 考虑 到 元 余 链 路 、 防 火 墙 的 设置 和 入 侵 检测 的 实 
时 监控 等 。 

1. 访问 控制 及 内 外 网 的 隔离 

访问 控制 可 以 通过 如 下 几 个 方面 来 实现 。 

(1) 制定 严格 的 管理 制度 

可 制定 的 管理 制度 相应 有 《用 户 授权 实施 细则 》、“《 口 令 字 及 账户 管理 规范 》 和 《 权 
限 管理 制度 》 等 。 

(2) 配备 相应 的 安全 设备 

在 内 部 网 与 外 部 网 之 间 ， 设 置 防火 墙 实现 内 外 网 的 隔离 与 访问 控制 是 保护 内 部 网 安全 
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的 最 主要 、 同 时 也 是 最 有 效 、 最 经 济 的 措施 之 一 。 防 火 墙 应 设置 在 不 同 网 络 或 网 络 安全 域 
之 间 信 息 的 唯一 出 入 口 。 

防火 墙 主 要 的 种 类 是 包 过 滤 型 ， 包 过 滤 防 火 墙 一 般 利 用 他 和 TCP 包 的 头 信息 对 进出 
被 保护 网 络 的 瑟 包 信息 进行 过 滤 ， 能 根据 企业 的 安全 政策 来 控制 (人 允许、 拒绝 、 监 测 》 出 
入 网 络 的 信息 流 ， 同 时 可 实现 网 络 地 址 转换 (NAT) 、 审 计 与 实时 告警 等 功能 。 由 于 这 种 
防火 墙 安装 在 被 保护 网 络 与 路 由 器 之 间 的 通道 上 ， 因 此 也 对 被 保护 网 络 和 外 部 网 络 起 到 隔 
离 作 用 。 

防火 墙 具有 以 下 5 大 基本 功能 : 

(1) 过 滤 进 、 出 网 络 的 数据 ; 

(2) 管理 进 、 出 网 络 的 访问 行为 ; 

(3) 封 堵 某 些 禁 止 的 业务 ; 

(4) 记录 通过 防火 墙 的 信息 内 容 和 活动 ; 

(5) 对 网 络 攻 击 的 检测 和 告警 。 

2. 内 部 网 不 同 网 络 安全 域 的 隔离 及 访问 控制 

在 这 里 ， 主 要 利用 VLAN 技术 来 实现 对 内 部 子 网 的 物理 隔离 。 通 过 在 交换 机 上 划分 
VLAN 可 以 将 整个 网 络 划分 为 几 个 不 同 的 广播 域 ， 实 现 内 部 一 个 网 段 与 另 一 个 网 段 的 物理 
隔离 。 这 样 ， 就 能 防止 影响 一 个 网 段 的 问题 穿 过 整个 网 络 传播 。 针 对 某 些 网 络 ， 在 某 些 情 
况 下 , 它 的 一 些 局 域 网 的 某 个 网 段 比 另 一 个 网 段 更 受信 任 , 或 者 某 个 网 段 比 另 一 个 更 敏感 。 
通过 将 信任 网 段 与 不 信任 网 段 划 分 在 不 同 的 VLAN 段 内 ,就 可 以 限制 局 部 网 络 安全 问题 对 
全 局 网 络 造成 的 影响 。 
3. 网 络 安全 检测 
网 络 系统 的 安全 性 取决 于 网 络 系统 中 最 薄弱 的 环节 。 如 何 及 时 发 现 网 络 系统 中 最 薄弱 
的 环节 ? 如 何 最 大 限度 地 保证 网 络 系统 的 安全 ? 最 有 效 的 方法 是 定期 对 网 络 系统 进行 安全 
性 分 析 ， 及 时 发 现 并 修正 存在 的 弱点 和 漏洞 。 

网 络 安全 检测 工具 通常 是 一 个 网 络 安全 性 评估 分 析 软 件 ， 其 功能 是 用 实践 性 的 方法 扫 
描 分 析 网 络 系统 ， 检 查 报告 系统 存在 的 弱点 和 漏洞 ， 建 议 补 救 措施 和 安全 策略 ， 达 到 增强 
网 络 安全 性 的 目的 。 检 测 工具 应 具备 以 下 功能 : 

(1) 具备 网 络 监 控 、 分 析 和 自动 响应 功能 ; 

(2) 找 出 经 常 发 生 问题 的 根源 所 在 ; 

(3) 建立 必要 的 循环 过 程 确 保 隐患 时 刻 被 纠正 ; 

(4) 控制 各 种 网 络 安全 危险 ; 

(5) 漏洞 分 析 和 响应 ， 

(6) 配置 分 析 和 响应 ; 

(7) 漏洞 形势 分 析 和 响应 ， 

(8) 认证 和 趋势 分 析 。 

有 具体 体现 在 以 下 方面 : 

(1) 防火 墙 得 到 合理 配置 ; 

(2) 内 外 Web 站 点 的 安全 漏洞 降 为 最 低 ; 

(3) 网 络 体系 达到 强壮 的 耐 攻击 性 ; 


162 网 络 安全 基础 教程 


(4) 各 种 服务 器 操作 系统 ， 如 EMIAL 服务 器 、Web 服务 器 、 应 用 服务 器 ， 将 受 黑 客 
攻击 的 可 能 性 降 为 最 低 ; 

(5) 对 网 络 访问 做 出 有 效 响应 ,保护 重要 应 用 系统 (如 财务 系统 ) 的 数据 安全 不 受 黑 
客 攻 击 和 内 部 人 员 误 操作 的 侵害 。 

4. 审计 与 监控 

审计 是 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 ， 它 是 提高 安全 性 的 重要 工 
具 。 它 不 仅 能 够 识别 谁 访问 了 系统 ， 还 能 看 出 系统 正 被 怎样 地 使 用 。 对 于 确定 是 否 有 网 络 
攻击 的 情况 ， 审 计 信息 对 于 确定 问题 和 攻击 源 很 重要 。 同 时 ， 系 统 事件 的 记录 能 够 更 迅速 
地 和 系统 地 识别 问题 ， 并 且 它 是 后 面 阶段 事故 处 理 的 重要 依据 。 另 外 ， 通 过 对 安全 事件 的 
不 断 收集 与 积累 并 且 加 以 分 析 ， 有 选择 性 地 对 其 中 的 某 些 站 点 或 用 户 进行 审计 跟踪 ， 以 便 
对 发 现 或 可 能 产生 的 破坏 性 行为 提供 有 力 的 证 据 。 
因此 ， 除 使 用 一 般 的 网 络 管理 软件 和 系统 监控 管理 系统 外 ， 还 应 使 用 目前 较为 成 熟 的 
网 络 监 控 设 备 或 实时 入 侵 检测 设备 ， 以 便 对 进出 各 级 局 域 网 的 常见 操作 进行 实时 检查 、 监 
控 、 报 警 和 阻 断 ， 从 而 防止 针对 网 络 攻击 与 犯罪 行为 。 

5. 网 络 防 病毒 

由 于 在 网 络 环境 下 ， 计 算 机 病毒 有 不 可 估量 的 威胁 性 和 破坏 力 ， 一 次 计算 机 病毒 的 防 
范 是 网 络 安全 性 建设 中 重要 的 一 环 。 
网 络 反 病毒 技术 包括 预防 病毒 、 检 测 病毒 和 清除 病毒 三 种 技术 。 

(1) 预防 病毒 技术 

预防 病毒 技术 通过 自身 常 驻 系统 内 存 ， 优 先 获得 系统 的 控制 权 ， 监 视 和 判断 系统 中 是 
否 有 病毒 存在 ， 进 而 阻止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 。 这 类 技术 有 : 加 
密 可 执行 程序 、 引 导 区 保护 、 系 统 监控 与 读 写 控制 〈 如 防 病毒 软件 等 ) 。 

(2) 检测 病毒 技术 

检测 病毒 技术 是 通过 对 计算 机 病毒 的 特征 来 进行 判断 的 技术 ， 如 自身 校 验 、 关 键 字 、 
文件 长 度 的 变化 等 。 

(3) 清除 病毒 技术 

清除 病毒 技术 通过 对 计算 机 病毒 的 分 析 , 开发 出 具有 删除 病毒 程序 并 恢复 原文 件 的 
软件 。 

网 络 反 病毒 技术 的 具体 实现 方法 包括 对 网 络 服务 器 中 的 文件 进行 频繁 地 扫描 和 监测 ; 
在 工作 站 上 用 防 病毒 芯片 和 对 网 络 目录 及 文件 设置 访问 权限 等 。 

所 选 的 防 病毒 软件 应 该 构造 全 网 统一 的 防 病毒 体系 ， 主 要 面向 MAIL、Web 服务 器 ， 
以 及 办 公 网 段 的 PC 服务 器 和 PC 工作 站 。 要 求实 现 的 基本 功能 包括 : 

(1) 支持 对 网 络 、 服 务 器 和 工作 站 的 实时 病毒 监控 ; 

(2) 能 够 在 中 心 控制 台 向 多 个 目标 分 发 新 版 杀毒 软件 ， 并 监视 多 个 目标 的 病毒 防 
治 情况 ; 

(3) 支持 多 种 平台 的 病毒 防范 ; 

(4) 能 够 识别 广泛 的 已 知 和 未 知 病毒 ， 包 括 宏 病 毒 ; 

(5) 支持 对 Intemet/Intranet 服务 器 的 病毒 防治 ， 能 够 阻止 恶意 的 Java 或 ActiveX 小 
程序 的 破坏 ; 
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(6) 支持 对 电子 邮件 附件 的 病毒 防治 ， 包 括 Word、Excel 中 的 宏 病 毒 ; 

(7) 支持 对 压缩 文件 的 病毒 检测 ; 

(8) 支持 广泛 的 病毒 处 理 选项 ， 如 对 染 毒 文 件 进行 实时 杀毒 、 移 出 、 重 新 命名 等 ; 

(9) 支持 病毒 隔离 ， 当 客户 机 试图 上 载 一 个 染 毒 文 件 时， 服务 器 可 自动 关闭 对 该 工作 
站 的 连接 ; 

(10) 提供 对 病毒 特征 信息 和 检测 引擎 的 定期 在 线 更 新 服务 ; 

(11) 支持 日 志 记录 功能 ;支持 多 种 方式 的 告警 功能 〈 声 音 、 图 像 、 电 子 邮件 等 ) 等 。 

6. 网 络 备份 系统 

备份 系统 为 一 个 目的 而 存在 ， 即 尽 可 能 快 地 全 盘 恢 复 运行 计算 机 系统 所 需 的 数据 和 系 
统 信息 。 根 据 系统 安全 需求 可 选择 的 备份 机 制 有 : 场 点 内 高 速度 、 大 容量 自动 的 数据 存储 、 
备份 与 恢复 ; 场 点 外 的 数据 存储 、 备 份 与 恢复 ; 对 系统 设备 的 备份 。 备 份 不 仅 在 网 络 系统 
硬件 故障 或 人 为 失误 时 起 到 保护 作用 ， 也 在 入 侵 者 非 授权 访问 或 对 网 络 攻击 及 破坏 数据 完 
整 性 时 起 到 保护 作用 ， 同 时 亦 是 系统 灾难 恢复 的 前 提 之 一 。 

在 确定 备份 的 指导 思想 和 备份 方案 之 后 ， 就 要 选择 安全 的 存储 媒介 和 技术 进行 数据 备 
份 ， 有 “ 冷 备份 ” 和 “ 热 备份 ”两 种 。 热 备份 是 指 “ 在 线 ” 的 备份 ， 即 下 载 备 份 的 数据 还 
在 整个 计算 机 系统 和 网 络 中 ， 只 不 过 传 到 另 一 个 非 工 作 的 分 区 或 是 另 一 个 非 实 时 处 理 的 业 
务 系统 中 存放 。“ 冷 备份 ”是 指 “ 不 在 线 ” 的 备份 ， 下 载 的 备份 存放 到 安全 的 存储 媒介 中 
而 这 种 存储 媒介 与 正在 运行 的 整个 计算 机 系统 和 网 络 没有 直接 联系 ， 在 系统 恢复 时 重新 安 
装 ， 有 一 部 分 原始 的 数据 长 期 保存 并 作为 查询 使 用 。 热 备份 的 优点 是 投资 大 ， 但 调用 快 ， 
使 用 方便 ， 在 系统 恢复 中 需要 反复 调试 时 更 显 优势 。 热 备份 的 具体 做 法 是 : 可 以 在 主机 系 
统 开辟 一 块 非 工作 运行 空间 ， 专 门 存放 备份 数据 ， 即 分 区 备份 ， 另 一 种 方法 是 ， 将 数据 备 
份 到 另 一 个 子 系统 中 ， 通 过 主机 系统 与 子 系统 之 间 的 传输 ， 同 样 具 有 速度 快 和 调用 方便 的 
特点 ， 但 投资 比较 晶 贵 。 冷 备份 弥补 了 热 备 份 的 一 些 不 足 ， 二 者 优势 互补 ， 相 辅 相 成 ， 因 
为 冷 备份 在 回避 风险 中 还 具有 便于 保管 的 特殊 优点 。 


6.6.3 ”系统 安全 


系统 的 安全 主要 是 指 操作 系统 、 应 用 系统 的 安全 性 以 及 网 络 硬件 平台 的 可 靠 性 。 对 于 
操作 系统 的 安全 防范 可 以 采取 如 下 策略 。 

(1) 对 操作 系统 进行 安全 配置 ， 提 高 系统 的 安全 性 ， 系 统 内 部 调用 不 对 Intemet 公开 ， 
关键 性 信息 不 直接 公开 ， 尽 可 能 采用 安全 性 高 的 操作 系统 ; 

(2) 应 用 系统 在 开发 时 ， 采 用 规范 化 的 开发 过 程 ， 尽 可 能 地 减少 应 用 系统 的 漏洞 

(3) 网 络 上 的 服务 器 和 网 络 设备 尽 可 能 不 采取 同一 家 的 产品 ; 

(4) 通过 专业 的 安全 工具 〈 安 全 检测 系统 ) 定期 对 网 络 进行 安全 评估 。 
6.6.4 ”信息 安全 

企业 局 域 网 的 信息 管理 是 在 综合 平衡 信息 机 密 性 和 可 用 性 这 两 个 因素 的 基础 上 ， 对 网 
内 的 信息 及 其 流 经 设备 进行 归 类 ， 明 确 它们 的 安全 要 求 ， 并 采取 适当 的 技术 手段 和 管理 措 
施 ， 到 达 信 息 安全 的 目标 。 

信息 的 重要 程度 信赖 于 信息 流程 ， 由 于 信息 流程 的 不 同 ， 与 信息 流 相 关 的 用 户 对 象 、 
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设备 的 重要 性 也 不 同 ， 例 如 公司 内 部 的 信息 流 可 以 分 为 “总 经 理 一 部 门 经 理 ”、“ 部 门 经 
理 一 职员 ”、“ 职 员 一 职员 ”等 方式 ， 每 种 方式 中 涉及 的 信息 内 容 、 共 享 程度 、 处 理 过 程 、 
硬件 设备 都 有 所 区 别 。 基 于 信息 流 的 分 析 方 法 ， 可 将 信息 划分 为 关键 、 重 要 、 次 要 和 一 般 
等 多 个 等 级 ， 信 息 等 级 的 定义 及 相应 的 安全 要 求 可 综合 考虑 信息 价值 的 关键 性 、 损 失 或 破 
坏 后 造成 影响 的 程度 以 及 影响 产生 后 的 可 接受 程度 等 因素 。 

言 息 管 理 是 局 域 网 安全 管理 的 核心 内 容 ， 所 有 安全 保密 手段 和 管理 措施 都 是 围绕 着 信 
息 的 安全 展开 的 , 同时 应 意识 到 信息 管理 不 仅 是 针对 信息 本 身 , 还 涉及 到 信息 的 流动 环节 ， 
它 是 一 个 动态 管理 的 概念 。 


6.6.5 ”应 用 安全 


在 应 用 安全 上 ， 主 要 考虑 通信 的 授权 ， 传 输 的 加 密 和 审计 记录 。 这 必须 加 强 登 录 过 程 
的 认证 (特别 使 在 到 达 服 务 器 主机 之 前 的 认证 ) ， 确 保 用 户 的 合法 性 ， 其 次 应 该 严格 限制 
登录 者 的 操作 权限 ， 将 其 完成 的 操作 限制 在 最 小 的 范围 内 。 另 外 ， 在 加 强 主机 的 管理 上 ， 
除了 上 面谈 的 访问 控制 和 系统 漏洞 检测 外 ， 还 可 以 采用 访问 存 取 控制 ， 对 权限 进行 分 割 和 
管理 。 应 用 安全 平台 要 加 强 资源 目录 管理 和 授权 管理 、 传 输 加 密 、 审 计 记 录 和 安全 管理 。 
对 应 用 安全 ， 主 要 考虑 确定 不 同 服务 的 应 用 软件 并 紧密 注视 其 Bug; 对 扫描 软件 不 断 升级 。 

应 用 层 安全 指 局 域 网 内 应 用 的 安全 性 ， 包 括 局 域 网 内 应 用 软件 和 业务 数据 的 安全 ， 局 
域 网 内 应 用 软件 包括 数据 库 软 件 、Web 服务 、 电 子 邮件 系统 、 文 件 传输 系统 和 专用 业务 系 
统 等 。 应 用 层 安 全 技术 有 : 网 关 防 病毒 技术 、 应 用 层 安全 扫描 、 应 用 层 安 全 代理 、 应 用 层 
加 密 、 应 用 层 信息 过 滤 技 术 等 。 


6.6.6 ”管理 安全 


管理 安全 指 管理 的 安全 性 ， 包 括 安全 技术 和 设备 的 管理 、 安 全 管理 制度 、 部 门 与 人 员 
的 组 织 规则 等 。 管 理 的 制度 化 程度 极 大 地 影响 着 整个 网 络 信息 系统 的 安全 ， 严 格 的 安全 管 
理 制 度 、 明 确 的 部 门 安全 职责 划分 、 合 理 的 人 员 角 色 定义 都 可 以 在 很 大 程度 上 降低 其 他 层 
次 的 安全 漏洞 。 

为 了 保护 网 络 的 安全 性 ， 除 了 在 网 络 设计 上 增加 安全 服务 功能 ， 完 善 系统 的 安全 保密 
措施 外 ， 安 全 管理 规范 也 是 网 络 安全 所 必需 的 。 安 全 管理 策略 一 方面 从 纯粹 的 管理 上 即 安 
全 管理 规范 来 实现 ， 另 一 方面 从 技术 上 建立 高 效 的 管理 平台 〈 包 括 网 络 管理 和 安全 管理 ) 。 
安全 管理 策略 主要 有 : 定义 完善 的 安全 管理 模型 ， 建 立 长 远 的 并 且 可 实施 的 安全 策略 ， 彻 
底 贯 彻 规范 的 安全 防范 措施 ， 建 立 恰当 的 安全 评估 尺度 ， 并 且 进行 经 常 性 的 规则 审核 ， 当 
然 ， 还 需要 建立 高 效 的 管理 平台 。 

1. 安全 管理 规范 

面 对 网 络 安全 的 脆弱 性 ， 除 了 在 网 络 设计 上 增加 安全 服务 功能 ， 完 善 系统 的 安全 保密 
措施 外 ， 还 必须 花 大 力气 加 强 网 络 安全 管理 规范 的 建立 ， 因 为 诸多 的 不 安全 因素 恰恰 反映 
在 组 织 管理 和 人 员 录 用 等 方面 ， 而 这 又 是 计算 机 网 络 安全 所 必须 考虑 的 基本 问题 ， 所 以 应 
引起 各 计算 机 网 络 应 用 部 门 领导 的 重视 。 

1) 安全 管理 原则 

网 络 信息 系统 的 安全 管理 主要 基于 3 个 原则 。 
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(1) 多 人 负责 原则 : 每 一 项 与 安全 有 关 的 活动 ， 都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 
是 系统 主管 领导 指派 的 ， 他 们 忠诚 可 靠 ， 能 胜任 此 项 工作 ;他 们 应 该 签署 工作 情况 记录 以 
证 明 安 全 工作 已 得 到 保障 。 具 体 的 活动 如 下 。 

@ 访问 控制 使 用 证 件 的 发 放 与 回收 ; 

@ 信息 处 理 系统 使 用 的 媒介 发 放 与 回收 ; 

@ 处 理 保密 信息 ; 

@ 硬件 和 软件 的 维护 ; 

@ 系统 软件 的 设计 、 实 现 和 修改 ; 

@ 重要 程序 和 数据 的 删除 和 销毁 等 。 

(2) 任期 有 限 原 则 : 一 般 地 讲 ， 任 何人 最 好 不 要 长 期 担任 与 安全 有 关 的 职务 ， 以 免 使 
他 认为 这 个 职务 是 专 有 的 或 永久 性 的 。 为 遵循 任期 有 限 原 则 ， 工 作 人 员 应 不 定期 地 循环 任 
只 ， 强 制 实行 休假 制度 ， 并 规定 对 工作 人 员 进 行 轮流 培训 ， 以 使 任期 有 限制 度 切 实 可 行 。 

(3) 职责 分 离 原则 : 在 信息 处 理 系统 工作 的 人 员 不 要 打听 、 了 解 或 参与 职责 以 外 的 任 
何 与 安全 有 关 的 事情 ， 除 非 系统 主管 领导 批准 。 出 于 对 安全 的 考虑 ， 下 面 每 组 内 的 两 项 信 
息 处 理工 作 应 当 分 开 。 

@ 计算 机 操作 与 计算 机 编程 ; 

@ 机 密 资料 的 接收 和 传送 ; 

@ 安全 管理 和 系统 管理 ; 

@ 应 用 程序 和 系统 程序 的 编制 ; 

@ 访问 证 件 的 管理 与 其 他 工作 ; 

@ 计算 机 操作 与 信息 处 理 系统 使 用 媒介 的 保管 等 。 

2) 安全 管理 的 实现 

祝 息 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数 据 的 保密 性 ， 制 定 相应 的 管 
理 制度 或 采用 相应 的 规范 。 具 体 工作 是 : 

Q@ 根据 工作 的 重要 程度 ， 确 定 该 系统 的 安全 等 级 。 

@ 根据 确定 的 安全 等 级 ， 确 定安 全 管理 的 范围 。 

@ 制订 相应 的 机 房 出 入 管理 制度 对 于 安全 等 级 要 求 较 高 的 系统 ,要 实行 分 区 控制 , 限 
制 工 作 人 员 出 入 与 己 无 关 的 区 域 。 出 入 管理 可 采用 证 件 识别 或 安装 自动 识别 登记 系统 ， 采 
用 磁卡 、 身 份 卡 等 手段 ， 对 人 员 进 行 识别 、 登 记 管理 。 

@ 制订 严格 的 操作 规程 。 

@ 操作 规程 要 根据 职责 分 离 和 多 人 负责 的 原则 , 各 负 其 责 , 不 能 超越 自己 的 管辖 范围 。 

@ 制订 完备 的 系统 维护 制度 。 

@ 对 系统 进行 维护 时 ， 应 采取 数据 保护 措施 ， 如 数据 备份 等 。 维护 时 要 首先 经 主管 部 
门 批准 ， 并 有 安全 管理 人 员 在 场 ， 故 障 的 原因 、 维 护 内 容 和 维护 前 后 的 情况 要 详细 记录 。 

制订 应 急 措施 ， 要 制定 系统 在 紧急 情况 下 ， 如 何 尽 快 恢复 的 应 急 措 施 ， 使 损失 减 至 
最 小 。 建 立 人 员 雇 用 和 解聘 制度 ， 对 工作 调动 和 离职 人 员 要 及 时 调整 相应 的 授权 。 

2. 网 络 管理 

管理 员 可 以 在 管理 机 器 上 对 整个 内 部 网 络 上 的 网 络 设备 、 安 全 设备 、 网 络 上 的 防 病毒 
软件 、 入 侵 检测 探测 器 进行 综合 管理 ， 同 时 利用 安全 分 析 软 件 可 以 从 不 同 角度 对 所 有 的 设 
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备 、 服 务 器 、 工 作 站 进行 安全 扫描 ， 分 析 它 们 的 安全 漏洞 ， 并 采取 相应 的 措施 。 

3. 安全 管理 

安全 管理 是 指 对 可 能 造成 安全 威胁 的 各 种 情况 进行 自动 或 者 手动 管理 ， 有 效 控制 安全 
风险 ， 达 到 安全 管理 的 目的 。 具 体内 容 主 要 包括 : 

(1) 对 安全 设备 的 管理 ; 

(2) 监视 网 络 危 险情 况 ， 对 危险 进行 隔离 ， 并 把 危险 控制 在 最 小 范围 内 ; 

(3) 身份 认证 ， 权 限 设 置 ; 

(4) 对 资源 的 存 取 权限 的 管理 ; 

(5) 对 资源 或 用 户 动态 的 或 静态 的 审计 ; 

(6) 对 违规 事件 ， 自 动 生成 报警 或 生成 事件 消息 ; 

(7) 口令 管理 (如 操作 员 的 口令 鉴 权 ) ， 对 无 权 操作 人 员 进 行 控 制 ; 

(8) 密 钥 管 理 ， 对 于 与 密 钥 相关 的 服务 器 ， 应 对 其 设置 密 钥 生命 期 、 密 钥 备份 等 管理 
功能 ; 

(9) 宛 余 备份 ， 为 增加 网 络 的 安全 系数 ， 对 于 关键 的 服务 器 应 元 余 备 份 。 

安全 管理 应 该 从 管理 制度 和 管理 平台 技术 两 个 方面 来 实现 。 安 全 管理 产品 尽 可 能 地 支 
持 统 一 的 中 心 控制 平台 。 


6.6.7 用 户 安全 


局 域 网 中 的 硬件 设备 、 操 作 系 统 和 应 用 系统 等 面向 的 用 户主 要 分 为 管理 者 和 使 用 者 两 
大 类 ， 各 种 权限 的 设置 成 为 用 户 管理 的 主要 内 容 。 若 从 可 信 度 的 角度 去 观察 用 户 管理 ， 则 
可 以 看 到 ， 用 户 及 权限 的 设置 正 是 用 户 可 信 程 度 高 低 的 体现 ， 用 户 所 拥有 的 管理 或 使 用 权 
限 越 高 ， 则 其 被 信任 的 程度 也 越 高 ， 反 之 亦 然 。 用 户 可 信 度 在 用 户 管理 中 是 有 层次 关系 的 ， 
用 户 可 信 度 越 高 则 所 处 的 可 信 层 次 越 高 。 

在 通常 的 用 户 管理 概念 中 ， 一 个 用 户 能 够 同时 被 赋予 多 种 角色 ， 行 使 多 种 权力 ， 且 这 
种 授权 方式 在 实现 上 一 般 仅 有 管理 约束 而 无 技术 约束 ， 由 此 产生 的 后 果 则 是 破坏 了 用 户 可 
信 度 的 层次 关系 ， 给 安全 管理 带 来 了 隐患 。 以 用 户 可 信 度 为 基础 ， 用 户 管理 首要 考虑 的 问 
题 就 是 如 何 有 效 地 保证 用 户 可 信 度 的 层次 关系 不 被 破坏 。 例 如 ， 一 个 用 户 只 能 处 于 一 个 可 
信 层 次 中 ; 由 可 信 管 理 机 制 统一 对 用 户 实施 可 信 度 管理 ; 用 户 在 可 信 管理 机 制 下 完成 其 在 
可 信 层 次 中 有 条 件 的 转换 等 。 

局 域 网 用 户 管理 是 合理 、 有 效 、 安 全 地 使 用 局 域 网 内 设备 及 信息 系统 的 基础 ， 实 施用 
户 管理 除了 从 行政 (或 业务 ) 管理 角度 考虑 外 ， 应 更 多 地 发 挥 技术 管理 机 制作 用 ， 尽 量 避 
免 因 主观 因素 和 管理 疏 忽 带 来 的 安全 问题 。 


6.6.8 安全 审计 


安全 审计 的 范畴 涵盖 安全 方针 、 安 全 组 织 、 资 产 分 类 与 控制 、 人 员 安 全 、 物 理 和 环境 
安全 、 通 信和 操作 管理 、 访 问 控制 、 系 统 开发 与 维护 等 内 容 ， 此 处 所 说 的 安全 审计 则 特 指 
在 网 络 及 信息 系统 中 对 安全 事件 进行 收集 、 检 测 、 统 计 、 分 析 、 评 估 和 控制 的 过 程 。 

安全 审计 信息 的 来 源 主要 为 各 种 日 志 记录 ， 如 运行 日 志 、 告 警 日 志 、 安 全 认证 日 志 、 
操作 日 志 等 。 安 全 审计 信息 可 按照 用 户 、 时 间 、 地 址 、 数 据 、 程 序 、 设 备 、 告 警 级 别 等 分 
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类 标准 进行 统计 、 分 析 。 安 全 审计 的 评估 过 程 是 在 对 已 发 现 的 安全 事件 进行 统计 、 分 析 的 
基础 上 ， 确 定 已 经 或 可 能 造成 的 影响 程度 ， 并 提出 解决 方案 。 安 全 审计 的 控制 过 程 则 是 通 
过 采取 规范 、 法 律 、 监 察 、 管 理 、 技 术 等 措施 达到 减 小 安全 事件 影响 后 果 的 目的 。 

安全 系统 的 建设 不 是 各 种 安全 产品 的 堆砌 ， 也 不 是 一 次 性 安全 策略 配置 就 能 完成 的 
而 是 一 项 长 期 性 且 需 要 不 断 完善 的 工作 ， 安 全 审计 正 是 这 项 长 期 工作 的 主要 内 容 ， 是 内 网 
安全 系统 发 挥 作用 的 有 效 保证 。 


6.7 网络 安全 技术 


国际 标准 化 组 织 (ISO) 对 计算 机 系统 安全 的 定义 是 : 为 数据 处 理 系 统 建 立 和 采用 的 技 
术 和 管理 的 安全 保护 ， 保 护 计 算 机 硬件 、 软 件 和 数据 不 因 偶然 和 恶意 的 原因 遭 到 破坏 、 更 
改 和 泄露 。 由 此 可 以 将 计算 机 网 络 的 安全 理解 为 :通过 采用 各 种 技术 和 管理 措施 ， 使 网 络 
系统 正常 运行 ， 从 而 确保 网 络 数据 的 可 靠 性 、 完 整 性 和 保密 性 。 可 见 ， 解 决 网 络 安全 问题 
是 离 不 开 网 络 安全 技术 的 ， 那 么 主要 的 网 络 安全 技术 都 包括 哪些 呢 ? 这 里 我 们 对 主要 的 内 
部 网 络 安全 技术 做 一 个 简单 的 介绍 。 

6.7.1 桌面 管理 

随 着 信息 技术 的 发 展 ， 企 业内 部 越 来 越 多 的 人 员 通 过 个 人 计算 机 来 完成 日 常 办 公 ， 个 
人 计算 机 已 经 成 为 企业 IT 资产 中 最 大 的 一 个 组 成 部 分 。 

由 于 个 人 电脑 的 数量 庞大 ， 使 用 人 员 复 杂 ， 位 置 分 散 ， 因 此 对 企业 的 信息 安全 带 来 了 
巨大 的 挑战 ， 例 如 如 何 及 时 统计 大 量 的 PC 的 软 、 硬 件 配置 情况 ， 如 何 了 解 众多 PC 的 安全 
状态 ， 如 何 对 PC 存在 的 安全 问题 (例如 安全 漏洞 ) 快速 响应 ， 如 何 防止 个 人 在 PC 上 进行 
违反 组 织 安全 策略 的 行为 ， 如 何 防止 机 密 信息 通过 PC 流失 等 等 。 

针对 上 述 安全 挑战 ， 提 出 了 桌面 安全 管理 系统 。 桌 面 安全 管理 系统 是 一 个 企业 级 的 终 
端 安全 管理 解决 方案 ， 通 过 使 用 该 产品 ， 企 业 可 以 有 效 地 对 数量 众多 的 桌面 管理 进行 安全 
防护 和 控制 ， 从 而 贯彻 有 组 织 的 安全 策略 ， 实 现 端 到 端的 安全 管理 。 

1. 系统 结构 

桌面 安全 管理 由 管理 中 心服 务 器 和 桌面 安全 代理 组 成 ， 服 务 器 实现 对 终端 的 集中 管理 
和 控制 ， 桌 面 安全 代理 则 被 安装 到 每 一 台 被 管理 的 终端 ， 执 行 各 种 安全 防护 和 管理 任务 。 

服务 器 部 署 根据 企业 情况 不 同 又 可 以 分 为 一 级 〈 集 中 ) 部 署 ， 或 者 分 级 部 署 。 

所 谓 一 级 〈 集 中 ) 部 署 ， 即 在 企业 集中 部 署 一 台 服 务 器 ， 包 含 各 种 组 件 ， 管 理 企 业 所 
有 终端 的 情况 ， 这 种 情况 适用 于 终端 数量 少 ， 分 布 范围 小 的 情况 。 

所 谓 分 级 部 署 ， 即 在 企业 按照 机 构 分 布 或 者 地 理 位 置 进行 分 级 部 署 ， 在 分 支 节 点 部 署 
二 级 管理 组 件 ， 这 种 适合 更 大 规模 的 终端 的 管理 。 

2. 系统 功能 

桌面 安全 管理 系统 针对 终端 管理 的 安全 需求 ， 提 供 了 丰富 而 强大 的 功能 ， 系 统 主要 功 
能 包括 : 

(1) 资产 管理 

支持 基于 逻辑 组 的 资产 管理 机 制 ， 能 够 自动 根据 操作 系统 、 用 户 所 在 部 门 等 进行 资产 
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分 组 。 可 查看 每 个 资产 的 实时 在 线 情况 、 软 件 硬件 配置 、 安 全 评估 、 告 警 日 志 、 漏 洞 报告 
等 信息 。 另 外 还 提供 资产 树 结构 方便 使 用 。 

(2) 终端 用 户 管理 

系统 支持 使 用 者 的 人 力 资 源 信息 和 资产 硬件 相 绑 定 的 功能 ， 资 产 和 用 户 的 绑 定 能 够 帮 
助 管理 员 快速 地 定位 责任 人 ， 处 理 安 全 违规 事件 。 系 统 还 提供 每 个 人 的 绑 定 资产 历史 记录 
情况 。 

(3) 终端 用 户 自 服务 系统 

普通 用 户 可 以 使 用 姓名 、 工 号 和 密码 登录 进入 自 服 务 系统 ， 提 交 终 端 维护 工 单 、 扫 描 
自己 的 漏洞 、 下 载 补 丁 、 查 看 最 新 安全 文摘 等 。 

(4) 多 角色 权限 控制 

提供 管理 员 、 审 计 员 、 组 管理 员 、 终 端 用 户 等 角色 ， 管 理 员 可 以 方便 地 控制 角色 和 具 
体 的 人 员 的 权限 。 

(5) 配置 变更 管理 

系统 不 仅 支 持 最 新 的 终端 配置 变化 情况 ， 还 提供 每 个 配置 变更 情况 的 历史 记录 功能 ， 
用 户 可 以 查询 某 个 卫 地 址 的 使 用 情况 。 

(6) 安全 评估 

系统 不 仅 提供 每 个 资产 、 每 个 组 织 结构 的 实时 安全 评估 ， 而 且 提供 整个 可 以 管理 的 
网 络 的 实时 安全 评估 以 及 趋势 图 。 这 样 系统 管理 员 可 以 直观 地 了 解 目 前 整个 网 络 的 安全 
状况 。 

(7) 漏洞 扫描 

系统 提供 专业 的 基于 主机 的 漏洞 扫描 功能 ， 扫 描 结果 自动 汇总 为 漏洞 报告 ， 通 过 补丁 
漏洞 库 为 用 户 提供 专业 的 漏洞 防护 。 不 仅 可 以 扫描 Hotfix 升级 类 型 漏洞 ， 还 可 以 扫描 系统 
的 潜在 配置 性 的 漏洞 ， 例 如 弱 口 令 。 

(8) 补丁 分 发 

系统 支持 自动 根据 漏洞 扫描 的 结果 进行 补丁 下 发 ， 支 持 定制 补丁 下 发 参数 ， 支 持 根 据 
补丁 特性 自动 过 滤 不 同 操作 系统 的 补丁 。 

(9) 远程 控制 

系统 支持 实时 的 远程 控制 ， 操 作对 方 的 桌面 犹如 自己 的 桌面 一 样 ， 提 供 管理 员 远程 技 
术 支 持 的 能 力 。 

(10) 软件 分 发 

系统 支持 实时 的 软件 分 发 功能 ， 管 理 员 只 需 将 需要 分 发 的 软件 上 传 到 服务 器 ， 可 以 同 
时 分 发 软件 给 一 个 组 的 终端 、 或 者 多 个 组 的 终端 上 。 

(11) 软件 监控 

系统 支持 软件 黑白 名 单 的 功能 ， 例 如 必须 安装 杀毒 软件 ， 不 能 安装 游戏 软件 等 。 

(12) 非法 外 联 监控 

系统 支持 对 终端 的 拨号 行为 的 控制 ， 可 以 实时 截断 终端 的 拨号 行为 并 且 发 送 告警 。 监 
控 策 略 可 以 设置 监控 时 间 、 监 控 拨 号 的 号 码 段 等 。 

(13) 屏幕 监控 

系统 不 仅 支 持 实 时 的 截取 对 方 的 屏幕 图 像 ， 而 且 支 持 定期 的 按照 既定 策略 截取 屏幕 。 
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管理 员 将 很 方便 地 获得 对 方 的 违规 依据 。 

(14) USB 存储 设备 监控 

系统 支持 基于 策略 的 USB 存储 设备 监控 ， 这 些 设备 包括 U 盘 、 移 动 硬盘 等 。 当 终端 
用 户 违 规 使 用 这 些 设备 的 时 候 ， 将 可 能 被 记录 并 且 被 禁止 使 用 。 

(15) 强大 的 安全 审计 功能 

提供 QQ/MSN 聊天 记录 审计 ， 文 件 使 用 (复制 ， 移 动 、 删 除 、 打 开 〉 记 录 审 计 ， 窗 口 
打开 记录 审计 、 键 盘 记 录 审 计 、1/O 设备 使 用 审计 、 网 络 访问 审计 等 审计 模块 供 选择 。 

(16) 强制 安全 策略 

系统 支持 为 每 个 资产 或 者 用 户 定义 强制 安全 策略 ， 强 制 安全 策略 本 身 包 含 了 其 他 各 种 
不 同 的 安全 策略 ， 例 如 补丁 、 非 修补 类 型 的 漏洞 、 软 件 安装 、 拨 号 、USB 设备 的 使 用 等 等 
一 系列 的 策略 。 当 用 户 违反 强制 安全 策略 ， 将 执行 响应 动作 ， 包 括 EMAIL 告警 通知 管理 
员 或 者 直接 关闭 终端 的 网 络 连接 。 

(17) 终端 接 入 控制 

有 效 控制 终端 接 入 网 络 ， 用 户 的 终端 必须 通过 用 户 身份 认证 、 设 备 安全 检查 等 安全 控 
制 手段 后 ， 才 能 接 入 内 部 网 络 ， 防 止 非法 用 户 或 存在 安全 隐患 的 终端 ， 对 网 络 带 来 危害 。 

3. 系统 特点 

桌面 安全 管理 系统 是 一 个 复杂 的 系统 ， 是 网 络 安全 体系 建设 中 的 一 个 重要 组 成 部 分 ， 
一 个 完整 的 、 功 能 强大 的 桌面 安全 管理 系统 应 该 具有 以 下 特点 : 

(1) 全 面 的 终端 安全 管理 

对 终端 进行 全 面 的 安全 管理 ， 包 括 资 产 、 软 硬件 配置 、 漏 洞 、 补 丁 、 监 控 、 接 入 等 各 
个 方面 。 

(2) 强大 的 漏洞 补丁 管理 

系统 能 够 根据 终端 和 漏洞 的 情况 ， 自 动 匹 配 最 合适 的 安全 补丁 ， 并 自动 下 发 到 终端 。 
使 用 补丁 漏洞 库 可 以 轻松 地 管理 漏洞 和 补丁 信息 。 

(3) 强制 安全 策略 

绑 定 到 终端 用 户 的 强制 安全 策略 ， 使 得 不 论 用 户 实际 使 用 的 资产 如 何 变化 ， 都 能 一 臻 
地 执行 安全 策略 。 

(4) 细致 的 安全 监控 和 审计 

系统 提供 全 面 的 安全 监控 和 审计 功能 ， 能 够 对 多 种 用 户 行为 进行 监视 ， 有 效 防止 关键 
信息 的 非法 外 泄 。 

(5) 系统 安全 级 别 评估 

系统 不 但 能 够 对 各 个 安全 细节 进行 管理 ， 更 能 够 提供 整体 的 安全 评估 ， 帮 助 管理 员 从 
微观 到 宏观 ， 均 能 把 握 网 络 的 安全 状态 。 

(6) 终端 和 人 员 的 关联 

能 够 快速 收集 资产 和 责任 用 户 的 关联 关系 ， 极 大 提高 管理 员 的 工作 效率 ， 轻 松 实 现代 
理 的 分 发 。 

(7) 稳定 可 靠 

桌面 管理 系统 要 求 设计 合理 ， 并 严格 测试 ， 具 有 和 良好 的 稳定 性 ;系统 提供 自 备 份 和 自 
恢复 功能 ， 保 证 可 靠 运行 。 
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6.7.2 网络 管理 


随 着 国内 外 对 网 络 应 用 需求 的 迅猛 增长 , 网 络 环境 也 变 得 越 来 越 错综复杂 ,如何 高 效 、 


可 靠 地 利用 这 些 网 络 资源 ， 逐 渐 成 为 众多 的 企 事 业 单位 所 关注 的 问题 。 


网 络 管理 系统 是 为 了 从 根本 上 解决 网 络 管理 难 〈 如 : 利用 率 不 高 、 排 除 故障 难 等 ) 的 


难题 而 开发 。 网 络 管理 系统 主要 包含 网 络 五 大 管理 功能 〈 五 大 管理 功能 是 指 性 能 管理 、 配 
置 管理 、 安 全 管理 、 故 障 管理 和 计 费 管理 ) 中 的 配置 管理 、 性 能 管理 和 故障 管理 ， 同 时 也 
实现 了 部 分 安全 管理 的 功能 ， 实 现 了 自动 拓扑 发 现 、 实 时 的 性 能 管理 和 及 时 解决 的 故障 管 


理 。 


同 ， 


网 络 管理 系统 能 有 效 帮 助 网 络 管理 人 员 提 高 网 络 利用 率 和 网 络 服务 的 质量 。 

1. 管理 对 象 及 内 容 

(1) 路 由 器 、 交 换 机 等 大 部 分 常用 网 络 设备 ， 网 络 设备 根据 具体 网 络 环境 而 有 所 不 
具体 包括 以 下 内 容 : 

@ 对 网 络 设备 的 CPU 实时 监视 ; 

@ 对 设备 各 个 端口 的 监视 (up，down，administrative down) ; 

@ 网 络 设备 的 自动 发 现 ; 

@ 对 设备 端口 所 连 的 链 路 进行 监视 (有 没有 延 时 ， 有 没有 丢 包 ) ; 

@ 对 网 络 设备 路 由 信息 的 实时 监视 ; 

@ 网 络 设备 的 资源 管理 。 

(2) 网 络 链 路 ， 对 于 一 个 有 一 定 规模 的 网 络 ， 其 中 会 存在 大 量 的 网 络 链 路 ， 对 这 些 链 


路 上 的 信息 进行 监视 有 利于 及 时 发 现 网 络 运行 状况 。 


@ 对 网 络 链 路 的 实时 监视 (如 流量 、 负 载 等 ); 

@ 对 网 络 链 路 的 监视 (up，down，administrative down) ; 

@ 网 络 链 路 的 类 型 ; 

@ 网 络 链 路 的 自动 发 现 ; 

@ 网 络 链 路 的 延 时 测试 。 

(3) 服务 器 

网 管 系统 应 该 能 对 不 同 平台 (Windows，UNIX， Linux) ， 不 同 应 用 (WWW,， FTP， 


Telnet) 的 服务 器 进行 实时 监视 。 包 括 : 


@ CPU 的 监视 ; 

@ 各 种 服务 的 监视 ; 

@ 服务 器 的 资源 管理 和 进程 管理 ; 

@ 安全 管理 。 

(4) PC 

PC 是 网 络 中 的 一 个 重要 组 成 部 分 , 对 其 运行 状态 进行 管理 自然 也 成 为 网 络 管理 系统 的 


功能 之 一 了 ， 具 体 项 目 包括 : 


@ 对 主机 管理 包括 Web 管理 ，Telnet 管理 等 常用 网 络 工具 ; 
@ 对 主机 设备 实时 状态 信息 的 监视 ; 
@ PC 的 资源 管理 和 进程 管理 ; 
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@ 安全 管理 。 

(5) 外 设 

除了 PC 以 外 , 还 需要 对 PC 的 外 设 进行 一 定 的 管理 ， 以 便 出 现 故 障 时 能 够 及 时 找到 安 
全 问题 。 

@ 资源 管理 ; 

@ 维护 管理 。 


网 络 管理 系统 通过 对 以 上 基本 网 络 组 成 元 素 的 监视 与 监控 ,模拟 真实 的 网 络 环境 ， 为 
用 户 提 供 了 统一 的 操作 和 查看 界面 ， 方 便 用 户 通 过 网 络 管理 系统 实时 地 了 解 整个 网 络 的 运 
行情 况 和 状态 。 同 时 ， 系 统 提供 了 多 方面 的 主动 监视 异常 情况 ， 并 主动 通过 提示 框 、 邮 件 、 
短信 等 方式 通知 用 户 。 

2. 系统 结构 

网 络 管理 系统 采用 先进 且 成 熟 的 MVC 模式 ， 三 层 架 构 ， 显 示 层 、 风 辑 层 和 业务 逻辑 
层 完全 分 离 ， 显 示 界 面 可 以 十 分 方便 地 更 换 。 同 时 ， 后 台 服 务 和 应 用 程序 也 可 以 完全 分 离 ， 
便于 系统 的 维护 和 调试 。 数 据 库 访问 使 用 一 个 访问 层 加 以 封装 ， 用 户 可 以 方便 地 更 换 数据 
库 


整个 网 络 管理 系统 采用 先进 、 灵 活 的 分 布 式 架构 : 数据库 、 应 用 程序 和 服务 3 个 部 分 
可 以 分 布 在 任意 的 3 台 计算 机 上 。 系 统 默认 的 分 布 是 配置 在 同一 台 计 算 机 上 的 。 

3. 系统 特点 
网 络 管理 是 一 件 复杂 而 繁琐 的 工作 , 要 通过 网 络 管理 系统 来 有 效 地 解决 这 个 问题 的 话 ， 
必然 对 网 络 管理 系统 提出 较 高 的 要 求 。 
(1) 系统 简单 、 易 用 性 
网 络 管理 系统 以 简单 、 易 用 、 实 用 和 适用 作为 第 一 追求 方向 ， 主 要 体现 在 如 下 几 个 
方面 : 

@ 采用 友好 、 易 于 理解 的 全 中 文 界面 、 中 文 注释 ， 常 用 功能 按钮 化 ， 简 化 使 用 ; 

@ 界面 风格 用 户 定制 (Windows 风格 ，UNIX 风格 等 ) ， 操 作 简 便 ; 

@ 回避 复杂 星 涩 的 专业 网 络 术 语 ， 以 直观 易 懂 的 方式 , 对 重要 的 网 络 术 语 进行 用 户 
理解 的 诠释 。 

@ 对 于 网 络 参数 进行 再 加 工 ， 让 系统 管理 人 员 完 全 理解 “数据 ”传达 的 信息 ; 同时 根 
据 用 户 的 需求 定制 各 种 数据 加 工 功能 。 

(2) 系统 功能 全 面 性 

网 络 管理 系统 的 功能 全 面 性 主要 体现 在 : 

@ 全 面 提供 了 网 络 管理 人 员 在 网 络 管理 中 所 使 用 的 的 全 部 功能 , 但 对 一 些 极 少 用 , 而 
又 不 重要 的 功能 坚决 据 弃 

@ 基于 多 种 操作 系统 ， 多 种 网 络 平台 。 

(3) 系统 安全 、 可 靠 性 

采用 应 用 与 服务 分 离 的 MVC 软件 架构 。 在 日 常 使 用 中 ， 可 以 在 多 个 备份 的 主机 上 开 
启 服 务 ， 当 主要 的 管理 主机 出 现 故障 时 ， 可 以 在 备份 主机 上 开启 业务 ， 对 网 络 进行 管理 。 
采用 和 集中 式 的 网 络 管理 模式 ， 并 且 对 用 户 的 权限 进行 严格 的 划分 和 认证 。 
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(4) 系统 极 强 的 适应 性 和 通用 性 

网 络 管理 系统 可 以 对 市 场 上 现 有 的 大 多 数 主流 厂商 的 网 络 设备 进行 管理 ， 包 括 Cisco， 
3Com，Bay，Juniper，Extreme，Foundry，Nortel， 华 为 ， 港 湾 ， 中 兴 ， 博 达 ， 实 达 ， 迈 普 
等 厂商 设备 。 系 统 可 以 对 支持 SNMP 的 网 络 设备 实施 统一 的 管理 ， 对 不 同 的 主机 系统 实施 
服务 管理 。 针 对 国内 用 户 的 网 络 管理 实际 需求 ， 网 络 管理 系统 提供 大 量 实用 功能 ， 让 用 户 
同时 做 到 了 “最 合理 的 配置 ”与 “最 好 的 管理 ”。 

(5) 系统 良好 的 可 拓展 性 和 定制 性 

网 络 管理 系统 全 中 文 的 自主 开发 ， 利 用 先进 的 组 件 思想 ， 标 准 的 建 模 语言 ， 为 后 续 二 
次 开发 打下 了 坚实 的 基础 。 可 以 根据 用 户 的 需求 ， 灵 活 地 进行 各 种 扩充 。 

(6) 系统 具有 很 好 的 个 性 化 特性 

提供 了 系统 界面 配置 功能 。 网 络 管理 员 可 以 根据 个 人 喜好 对 系统 的 显示 进行 定制 ， 包 
括 拓扑 显示 ， 故 障 提示 等 。 

(7) 系统 特有 的 决策 支持 、 分 析 型 特性 

利用 先进 的 统计 模型 ， 对 采集 到 的 数据 进行 统计 分 析 ， 形 成 了 丰富 的 决策 支持 、 分 析 
报表 。 同 时 ， 为 了 满足 特定 用 户 对 特定 分 析 的 要 求 ， 公 司 提供 高 效 、 优 质 的 “二 次 开发 ” 
服务 。 

(8) 系统 的 主动 性 明显 地 优 于 其 他 系统 

系统 充分 考虑 到 让 用 户 去 找 问 题 的 烦琐 和 工作 量 ， 因 此 ， 网 络 管理 系统 充分 地 提供 了 
系统 自动 监测 和 报警 功能 ， 系 统 主动 监测 到 各 种 异常 情况 ， 并 按 用 户 设 定 的 方式 提示 用 户 ， 
极 大 地 方便 了 用 户 对 网 络 的 故障 和 性 能 管理 。 

(9) 优异 的 性 价 比 

在 衡量 一 个 系统 是 否 适合 自己 时 ， 系 统 自 身 的 性 价 比 是 一 个 非常 重要 的 因素 ， 只 有 做 
到 物 有 所 值 ， 甚 至 物 超 所 值 才 是 我 们 所 追求 的 。 

4. 完善 的 系统 功能 

网 络 管理 系统 包括 如 下 常用 的 网 络 管理 功能 ， 拓 扑 图 、 编 辑 与 查看 、 性 能 分 析 、 资 源 
管理 、 事 件 与 告警 、 工 具 、 系 统管 理 、 日 志 、 帮 助 

(1) 拓扑 图 管理 

网 络 管理 系统 的 拓扑 发 现 和 拓扑 图 的 显示 是 同时 进行 的 ， 拓 扑 图 实现 了 分 层 显示 ， 项 
层 是 三 层 拓扑 发 现 的 结果 ， 显 示 的 是 三 层 设 备 和 子 网 以 及 它们 之 间 的 连接 视图 。 具 体 包 括 
以 下 特点 : 

@ 系统 能 够 自动 生成 三 层 网 络 拓扑 图 和 子 网 的 物理 视图 ， 并 且 支 持 手动 的 设备 拓扑 
伸展 ; 

@ 系统 支持 用 户 手工 添加 网 络 设备 至 拓扑 图 ; 

@ 系统 能 够 界面 化 显示 设备 和 链 路 状态 ; 

@ 系统 支持 实时 编辑 显示 规则 和 对 图 片 的 导出 ; 

@ 系统 支持 实时 采集 设备 和 链 路 状态 信息 ， 动 态 更 新 网 络 拓扑 图 。 

@ 支持 逼真 地 显示 Cisco，3Com，Bay，Juniper，Extreme，Foundry，Nortel， 华 为 ， 
港湾 ， 中 兴 ， 博 达 ， 实 达 ， 迈 普 等 各 主流 厂商 网 络 设备 的 背 板 图 ; 

@ 用 户 可 直接 在 逼真 的 各 设备 背 板 图 上 选择 查看 各 模块 和 端口 的 各 类 网 络 和 连接 设 
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备 的 信息 。 

(2) 编辑 与 查看 管理 

查看 网 络 设 备 信息 是 网 络 管理 员 经 常 使 用 的 功能 ， 网 络 管理 系统 的 信息 查看 分 为 以 下 
几 个 方面 : 

@ 系统 能 够 查找 和 蔡 换 拓扑 中 的 设备 ; 

@ 系统 能 够 对 设备 名 称 进行 个 性 化 编辑 ; 

@ 系统 能 够 查看 服务 器 实时 信息 ; 

@ 系统 能 够 查看 链 路 实时 信息 ; 

@ 系统 能 够 查看 端口 实时 信息 ; 

@ 系统 能 够 查看 设备 真实 视图 。 

通过 该 菜单 项 ， 管 理 员 能 查看 拓扑 图 中 设备 、 端 口 和 链 路 的 实时 状态 信息 ， 能 够 查看 
设备 的 真实 背 板 图 ， 并 且 ， 通 过 背 板 图 能 对 设备 的 端口 进行 管理 。 

(3) 性 能 分 析 管 理 

网 络 管理 系统 提供 基于 设备 和 基于 端口 的 性 能 分 析 ， 用 户 可 以 以 小 时 为 单位 、 每 次 轮 
询 〈 更 细致 ) 或 自 定义 时 间 间 隔 为 单位 显示 指定 设备 〈 路 由 器 、 交 换 机 或 服务 器 等 设备 ) 
的 性 能 图 表 ， 并 能 以 三 维 立体 或 折线 形式 表现 出 来 。 网 络 管理 系统 同时 提供 了 端口 的 实时 
性 能 分 析 ， 供 用 户 对 某 个 端口 实时 监控 并 能 分 析 一 段 时 间 内 的 实时 记录 。 

@ 系统 支持 基于 周期 轮 询 的 系统 性 能 指标 的 统计 ; 

@ 系统 支持 自动 生成 各 种 报表 ( 含 日 报 、 周 报 、 月 报 和 自 定 义 时 间 段 报表 ) ， 

@ 系统 支持 性 能 统计 结果 的 3 种 图 形 显示 〈 曲 线 、 柱 状 图 和 饼 状 图 ) ; 

@ 系统 支持 基于 设备 端口 的 实时 性 能 分 析 ; 

@ 系统 支持 对 实时 分 析 记 录 的 保存 和 读 取 。 

网 络 实时 性 能 分 析 对 网 络 运 行情 况 进 行 了 实时 、 详 细 的 表现 。 

(4) 资源 管理 

资源 管理 用 于 查看 网 络 上 的 硬件 和 软件 资源 ， 以 及 定位 和 管理 卫 资源 。 在 设备 资源 发 
生变 化 时 ， 能 及 时 刷新 显示 ， 用 户 也 可 以 根据 自己 的 网 络 规划 ， 对 软 硬 件 资源 和 卫 资源 进 
行 合理 的 管理 。 

@ 系统 按 设 备 种 类 〈 路 由 器 、 交 换 机 、 服 务 器 、PC、 外 设 等 ) 建立 主机 上 硬件 资源 
的 管理 和 监控 ， 并 以 颜色 区 分 设备 信息 的 状态 (内 存 快照 或 保存 到 数据 库 〉; 

@ 可 以 方便 地 把 主机 设备 设置 为 服务 器 ， 也 可 将 服务 器 设置 为 主机 ; 

@ 对 设备 的 操作 支持 批 处 理 和 编辑 维护 记录 ; 

@ 系统 提供 自 定 义 静态 和 动态 卫 范围 ， 以 方便 对 人 P 资源 的 管理 ; 

@ 以 棋盘 状 的 布局 显示 下 分布 图 ， 并 且 可 以 记录 下 多 次 外 分 布 的 状况 。 

(5) 事件 与 告警 管理 

网 络 规模 的 扩大 对 网 络 的 “实时 性 能 ”和 “可 靠 性 ”的 要 求 特别 高 。 网 络 管理 系统 特 
别 地 加 强 了 对 这 方面 的 实时 监控 。 通 过 对 这 些 信息 的 监视 ， 可 及 时 了 解 网 络 运行 的 瓶颈 ， 
以 及 用 户 对 本 地 人 P 的 使 用 情况 ， 而 且 提 供 了 6 种 快捷 、 有 效 的 告警 方法 ， 在 第 一 时 间 ， 以 
用 户 设 定 的 方式 通知 网 络 管理 员 “ 网 络 的 异常 情况 ”。 

人 @ 实现 查看 网 络 设备 〈 交 换 机 和 三 层 交 换 机 ) 端口 逻辑 上 直 连 的 mac 地 址 及 相关 信息 ; 
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@ 以 下 -MAC 绑 定 形式 实现 对 设备 的 网 络 连接 权限 控制 〈 分 时 段 或 分 网 段 ) ， 并 可 批 
量 处 理 ; 

@) 系统 支持 基于 端口 、 设 备 、 链 路 和 服务 状态 的 监视 ; 

@ 系统 支持 告警 事件 和 告警 规则 设置 ; 

@ 系统 自动 告警 功能 : 声音 、 程 序 、E-mail、 消 息 框 、 列 表 框 和 手机 短信 五 种 告警 
天 起 < 

(6) 网 络 工具 管理 

网 络 管理 系统 集成 了 常用 的 网 络 诊断 工具 ， 使 管理 员 不 需要 脱离 本 系统 的 操作 界面 ， 
就 能 对 一 些 常见 的 网 络 故障 进行 诊断 和 排除 ， 真 正 做 到 了 方便 、 快 捷 。 

@ 系统 支持 telnet 管理 ; 

@ 系统 支持 ping 工具 ; 

@) 系统 支持 traceroute 工具 ; 

@ 系统 支持 Web 方式 管理 ; 

@ 系统 支持 链 路 时 延 测试 ; 

@ 系统 支持 主机 定位 工具 ; 

@ 系统 支持 路 由 信息 工具 。 

(7) 系统 管理 

系统 管理 对 网 络 管理 系统 提供 了 完善 的 管理 体系 , 对 不 同 用 户 可 以 赋予 不 同 登 录 权限 ， 
提高 软件 的 安全 性 和 可 靠 性 。 当 管理 员 暂 时 离开 时 ， 可 以 将 界面 锁定 ， 禁 止 他 人 使 用 该 系 
统 。 执 惑 人 员 的 排 定 ， 数 据 库 的 备份 恢复 ， 以 及 SNMP 规则 设置 ， 网 络 管理 员 可 以 通过 选 
项 配置 管理 ， 按 照 自己 的 习惯 ， 配 置 相关 的 SNMP 全 局 信息 和 局 部 子 节点 信息 。 

@ 系统 支持 多 用 户 管理 (添加 用 户 及 权限 分 配 〉; 

@ 系统 支持 执勤 人 员 设 置 ; 

@ 系统 支持 界面 锁定 功能 ; 

@ 系统 支持 数据 库 的 备份 和 恢复 ; 

@ 系统 支持 SNMP 设置 。 
(8) 日 志 管理 
日 志 管理 是 保证 系统 安全 可 靠 不 可 缺少 的 一 部 分 ， 系 统 提 供 了 3 种 不 同 的 日 志 备份 ， 
而 且 ， 用 户 可 以 组 合 查询 符合 条 件 的 日 志 。 

@ 系统 日 志 备份 管理 ; 

@ 系统 操作 日 志 管 理 ; 

@ 系统 事件 日 志 管 理 ; 

@ 系统 告警 日 志 管 理 ; 

(9) 设备 背 板 图 

在 充分 了 解 “用 户 需 求 ”的 基础 上 ， 在 网 络 管理 系统 中 提供 常用 设备 的 真实 专用 背 板 
图 和 通用 背 板 图 ， 支 持 各 种 主流 厂商 设备 的 真实 背 板 显 示 和 相关 操作 。 同 时 ， 考 虑 到 用 户 
对 有 些 背 板 图 的 特殊 性 要 求 ， 因 此 ， 也 提供 为 用 户 定制 的 服务 。 

我 们 提供 的 背 板 图 与 真实 网 络 设备 一 一 对 应 的 ， 管 理 员 能 方便 有 效 地 对 网 络 设备 端口 
进行 监控 和 管理 。 
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(10) 帮助 管理 

帮助 管理 是 帮助 用 户 高 效 、 友 好 地 使 用 网 络 管理 系统 的 重要 组 成 部 分 。 用 户 通过 帮助 
栏 不 仅 可 以 方便 地 获取 版 权 、 软 件 配置 、 系 统 配置 和 图 标 说明 等 信息 ， 还 可 以 查看 用 户 手 
册 和 一 些 常见 异常 问题 的 解答 。 


6.7.3 网 络 监控 审计 


局 域 网 面临 的 安全 问题 包括 网 络 系统 安全 和 数据 安全 。 在 网 络 系统 安全 方面 ， 需 要 防 
止 网 络 系统 遭 到 没有 授权 的 存 取 或 破坏 以 及 非法 入 侵 ; 在 数据 安全 方面 ， 需 要 防止 机 要 、 
敏感 数据 被 窃取 或 非法 复制 、 使 用 等 。 网 络 安全 监控 审计 系统 可 以 对 局 域 网 中 的 计算 机 用 
户 的 行为 进行 监控 、 审 计 ， 防 止 内 部 机 密 信息 的 泄露 ， 并 能 帮助 高 层 管理 人 员 监 督 员 工 合 
理 高 效 地 使 用 计算 机 。 

网 络 安全 监控 审计 系统 主要 实现 以 下 目标 : 对 内 网 用 户 进行 安全 监视 和 行为 审计 ， 从 
网 络 通信 和 外 接 设 备 等 方面 进行 信息 传输 复制 限制 ;管理 系统 资源 防止 受到 攻击 ; 加固 系 
统 ， 分 发 补丁 。 

1. 系统 结构 

网 络 安全 监控 审计 系统 由 3 部 分 组 成 ， 即 客户 端 、 控 制 台 和 服务 器 端 。 客 户 端 安装 在 
每 一 台 需 要 被 监视 的 计算 机 上 ， 用 来 收集 数据 信息 ， 并 执行 来 自 服务 器 模块 的 指令 。 服 务 
器 端 一 般 安 装 在 一 台 具 有 高 性 能 CPU 和 大 容量 内 存 的 用 作 服 务 器 的 计算 机 上 , 用 来 存储 和 
管理 所 有 安装 有 代理 模块 的 计算 机 的 数据 ,控制 台 一 般 安装 在 公司 的 管理 人 员 的 计算 机 上 ， 
用 来 监控 每 台 安装 有 代理 模块 的 计算 机 ， 管 理 各 类 审计 系统 ， 制 定安 全 策略 。 

2. 系统 主要 作用 

(1) 事先 预防 

1) 设备 使 用 监控 

可 禁止 各 种 类 型 的 设备 ， 包 括 软驱 、 光 驱 〈 包 括 刻 录 机 ) 、 磁 带 驱 动 器 、USB 存储 设 
备 、 串 /并 口 、SCSI、IEEE1394 总 线 、 调 制 解 调 器 、 红 外 通信 设备 、USB， 以 及 笔记 本 电 
脑 使 用 的 PCMCIA 卡 接口 。 

2) 应 用 程序 监控 

可 以 禁止 运行 指定 的 应 用 程序 ， 或 者 只 允许 运行 指定 的 应 用 程序 。 

3) 上 网 行为 监控 

可 以 禁止 访问 指定 的 网 站 ， 或 者 只 允许 访问 指定 的 网 站 。 

4) 文件 操作 监控 

可 限制 对 指定 文档 的 访问 ， 限 制 指定 的 计算 机 或 组 的 用 户 对 文档 进行 的 操作 ， 包 括 访 
问 、 创 建 、 复 制 、 移 动 、 改 名 、 删 除 、 恢 复 以 及 文档 打印 等 操作 。 

5) 网 络 访问 监控 

可 指定 禁止 非法 外 连 ， 禁 止 未 安装 客户 端 代理 模块 的 计算 机 接 入 网 络 ， 与 安装 了 客户 
端 代理 的 计算 机 进行 通信 。 

(2) 事 中 监控 

@ 报警 响应 

根据 设备 使 用 规则 、 应 用 程序 规则 、 上 网 行为 规则 、 文 件 操作 规则 、 网 络 访问 规则 等 
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进行 监视 ， 对 违反 规则 的 行为 进行 报警 。 根 据 事先 规定 的 响应 策略 进行 响应 ， 尽 可 能 阻止 
事态 扩大 。 

@ 终端 屏幕 监视 

可 根据 需要 进行 终端 屏幕 监视 ， 随 时 掌握 终端 用 户 的 使 用 情况 。 

(3) 事后 审计 

@ 历史 数据 备份 

收集 代理 模块 采集 的 数据 ， 并 将 其 保存 到 数据 库 中 。 

@ 数据 查询 统计 

可 查询 特定 机 器 特定 时 刻 的 历史 记录 ; 查看 监测 日 志 、 系 统 日 志和 管理 员 的 操作 日 ; 
并 进行 分 析 和 审计 。 

(4) 其 他 功能 

@ 用 户 及 权限 管理 

包括 添加 、 删 除 、 修 改 管理 员 ， 系 统管 理 员 采用 分 权 分 级 的 管理 方式 ， 每 个 管理 员 都 
有 其 授权 工作 范围 和 管理 权限 。 

@ 规则 管理 

包括 时 间 段 、 网 站 组 、 应 用 程序 组 、 硬 件 设备 接口 、 应 用 软件 等 ， 可 进行 归 类 ， 便 于 
规则 的 设 定 。 

@ 报表 设置 

可 以 对 文件 监视 、 应 用 程序 监视 、 网 站 监视 、 系 统 事 件 、 应 用 程序 统计 、 网 站 访问 统 
计 、 日 志 查 询 等 报表 格式 进行 设 定 。 

@ 软件 分 发 

根据 漏洞 扫描 系统 扫描 的 结果 ， 将 需要 安装 的 系统 补丁 分 发 到 各 个 客户 机 终端 上 。 也 
可 以 根据 用 户 需要 ， 分 发 其 他 的 软件 程序 到 客户 机 终端 上 。 

(1) 全 面 防止 重要 信息 外 泄 

禁止 使 用 非 授权 的 存储 设备 〈 如 : 软盘 、 移 动 硬盘 、 刻 录 机 等 ) ; 
禁止 使 用 任何 的 通信 端口 (如 : USB、 串 口 、 红 外 线 等 ) ; 
禁止 使 用 打印 机 设备 ; 

@ 详细 记录 终端 PC 文件 的 使 用 操作 ; 

禁止 非 授 权 的 网 络 访问 。 

严格 控制 信息 输出 渠道 ,对 计算 机 的 各 种 设备 进行 管理 ,包括 存储 设备 (软驱 、 光 驱 、 
刻录 机 、 磁 带 驱 动 器 、USB 存储 设备 ) 、 通 信 设 备 (串口 、 并 口 、 调 制 解 调 器 、USB、SCSTI、 
1394 总 线 、 红 外 通信 设备 以 及 笔记 本 电脑 使 用 的 PCMCIA 卡 接口 ) 及 文件 打印 控制 , 使 信 
息 流向 达到 控制 ， 保 证 信息 不 被 随意 外 泄 。 

与 此 同时 ， 还 详细 记录 终端 PC 用 户 对 文件 的 各 种 操作 ， 包 括 对 文件 的 创建 、 打 印 、 
访问 、 复 制 、 改 名 、 恢 复 、 删 除 、 移 动 等， 方便 事后 查阅 。 管 理 者 还 可 以 选择 记录 终端 PC 
的 屏幕 快照 ， 根 据 需要 播放 操作 记录 。 

网 络 安全 监控 审计 系统 从 事前 预防 〈 对 各 种 设备 的 控制 ) ， 事 中 监控 〈 屏 幕 快 照 ) ， 
事后 审计 《〈 屏 幕 快照 回放 ， 操 作 记录 查询 等 ) ， 全 面 防止 重要 信息 外 泄 。 


钼 
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(2) 进行 工资 产 管理 

Q@ 自动 获取 终端 PC 硬件 配置 信息 ; 

@ 自动 获取 终端 PC 所 安装 的 软件 信息 ; 

@ 自动 获取 和 控制 终端 PC 当前 运行 的 系统 进程 ; 

@ 自动 获取 和 控制 终端 PC 当前 的 共享 目录 ; 

@ 查询 终端 PC 的 IP/MAC 地 址 ; 

@ 查询 终端 PC 的 系统 启动 项 目 信 息 。 

网 络 安全 监控 审计 系统 可 以 对 终端 PC 的 硬件 、 软 件 信息 ， 控 制 终端 PC 的 共享 及 运行 
的 程序 ， 管 理 员 可 终止 终端 PC 运行 的 非法 程序 ， 关 闭 其 共享 的 文件 夹 (包括 Windows 的 
默认 共享 ) 。 

(3) 有 效 监 控 网 络 资源 使 用 

@ 禁止 非 授权 的 计算 机 访问 网 站 ; 

@ 禁止 授权 计算 机 访问 非 授 权 的 网 站 

@ 实时 监视 并 记录 各 计算 机 访问 的 网 站 信息 ; 

@ 实时 监视 对 各 计算 机 特定 端口 的 访问 连接 ; 

回 对 非法 接 入 的 设备 (如 ; 笔记 本 电脑 ) 进行 完全 隔离 ， 使 其 无 法 对 系统 资源 有 任何 
的 操作 权限 ; 

@ 防止 对 非 授权 资源 的 操作 ; 

@ 对 特定 文件 的 访问 进行 控制 ， 禁 止 非 授权 的 操作 〈 如 : 读 取 、 复 制 、 删 除 等 ) 
对 特定 文件 的 访问 进行 实时 监视 ， 实 时 报警 ; 

@ 禁止 对 系统 关键 配置 信息 进行 查看 、 更 改 〈 如 : 更 改 IP/MAC 地 址 、 使 用 设备 资源 
管理 器 等 ) ; 

禁止 终端 PC 通过 非法 拨号 方式 接 入 INTERNET; 

@ 禁止 运行 特定 的 应 用 程序 (如 : QQ、MSN 等 聊天 工具 ) 并 提供 实时 性 报警 。 

网 络 安全 监控 审计 系统 记录 员工 常用 的 网 络 活动 ， 通 过 封 堵 QQ，MSN 等 聊天 工具 、 
网 络 游戏 、 股 票 等 程序 ， 限 制 上 网 站 点 规范 员工 的 网 络 行为 ， 使 网 络 资源 得 到 有 效 利用 。 

(4) 审计 系统 信息 和 用 户 操作 行为 

@ 详细 记录 管理 员 对 系统 进行 的 所 有 配置 操作 ; 

@ 详细 记录 终端 PC 文件 的 使 用 操作 〈 如 : 复制、 删除、 移动、 打印、 更 改 等 ) ; 

@ 针对 终端 PC 使 用 应 用 程序 的 情况 进行 详细 的 记录 ; 

@ 对 于 终端 PC 使 用 的 应 用 程序 和 浏览 网 站 的 信息 进行 统计 并 能 以 列表 、 柱 形 图 和 人 饼 


图 等 样式 显示 结果 ; 
@ 轻松 对 多 种 操作 信息 提供 快速 查询 功能 (如 : 文档 监视 、 应 用 程序 监视 、 系 统 信 
息 等 ) ; 


@ 多 种 重要 的 审计 信息 可 以 生成 个 性 化 的 报表 ; 

@ 对 终端 PC 的 各 种 操作 以 屏幕 快照 的 方式 记录 ， 查 询 方便 。 

网 络 安全 监控 审计 系统 可 记录 管理 员 的 操作 ， 只 有 审计 员 才 能 删除 相关 记录 ， 这 样 可 
对 管理 员 的 权利 进行 制约 ， 防 止 因 管理 员 权限 过 大 而 形成 安全 隐患 。 对 终端 用 户 的 行为 进 
行 记录 和 审计 可 帮助 进行 事后 追查 ， 能 对 用 户 行为 进行 更 多 了 解 。 
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(5) 安全 、 齐 越 的 系统 性 能 
@ 管理 权限 分 级 ， 利 于 分 级 控制 ; 
@ 服务 器 端 与 客户 端 之 间 应 用 了 严格 的 身份 认证 , 防止 未 授权 使 用 , 保障 系统 的 管理 


@ 客户 端 、 服务器 及 控制 台 间 的 数据 传输 全 部 采用 加 密 传输 方式 , 防止 传输 的 数据 被 
窃听 ; 
@ 备份 和 恢复 服务 器 数据 库 中 的 信息 ， 保 证 历史 记录 的 方便 查阅 ; 
@ 在 终端 PC 上 运行 的 客户 端 软件 采用 了 透明 模式 ， 用 户 察觉 不 到 本 地 已 安装 客户 端 
软件 ; 
@ 客户 端 软件 采集 数据 信息 不 影响 终端 PC 的 使 用 性 能 ; 
@ 传输 中 的 数据 经 过 特殊 压缩 ， 对 网 络 带 宽 的 占用 非常 少 ; 
对 非法 接 入 的 主机 可 切断 其 与 内 部 安装 过 客户 端 代理 主机 之 间 的 联系 ; 
@ 本 地 用 户 不 能 自行 卸载 、 关 闭 客户 端 代理 程序 。 
(6) 灵活 的 自 定义 规则 
@ 可 以 制定 不 同 的 周期 规则 ， 以 保证 工作 时 间 、 节 假日 等 时 间 应 用 不 同 的 规则 ; 
@ 可 以 自 定义 各 种 应 用 程序 的 访问 或 禁止 ; 
@ 可 以 针对 不 同 的 个 人 、 用 户 组 ， 来 制定 不 同 的 规则 策略 。 
网 络 安全 监控 审计 系统 提供 的 自 定 义 规则 非常 灵活 。 管 理 者 可 以 定义 不 同 的 时 间 〈 如 ， 
上 班 时 间 ， 下 班 时 间 ， 公 体 日 ) 有 不 同 的 规则 ， 也 可 以 对 不 同 的 用 户 组 或 者 终端 PC〈 如 ， 
管理 层 ， 普 通 职员 ) 定义 不 同 的 策略 ， 以 保证 网 络 的 资源 合理 分 配 。 
4. 系统 部 署 
网 络 安全 监控 审计 系统 的 部 署 非常 简单 。 一 般 将 客户 端 安装 到 需要 保护 或 监控 的 终端 
PC/ 服 务 器 上 , 将 服务 器 端 安装 在 一 台 PC 或 服务 器 上 , 而 控制 台 可 以 放 在 公司 的 任何 位 置 ， 
安装 在 相关 的 主管 人 员 的 计算 机 上 ， 即 可 对 网 络 进行 监控 。 
在 各 种 部 署 安 装 完成 之 后 ， 一 般 根 据 实际 需要 ， 采 取 如 下 措施 : 
(1) 对 所 有 计算 机 ， 都 禁止 使 用 拨号 进行 非法 外 连 ， 防 止 出 现 安全 隐患 ; 
(2) 对 所 有 计算 机 ， 都 禁止 非法 主机 接 入 ， 保 证 整个 网 络 都 与 外 界 严 格 隔离 ， 又 不 影 
响 正常 使 用 ; 
(3) 对 所 有 计算 机 ， 都 禁止 访问 除 内 部 网 站 外 的 其 他 网 站 ; 
(4) 对 所 有 计算 机 ， 都 禁止 运行 聊天 和 游戏 软件 ; 
(5) 对 所 有 计算 机 ， 都 禁止 修改 网 络 属性 ， 包 括 下 地 址 等 ; 
(6) 对 所 有 计算 机 ， 都 强制 关闭 了 系统 的 默认 共享 ， 防 止 出 现 漏洞 ; 
(7) 对 大 部 分 计算 机 都 禁用 了 通信 设备 、 输 出 设备 和 外 接 存储 设备 ， 保 证 从 这 些 计算 
机 无 法 将 网 络 中 的 数据 复制 或 打印 ; 
(8) 对 所 有 计算 机 ， 设 置 补丁 分 发 规则 ， 定 时 升级 ; 
(9) 对 试图 违反 以 及 试图 改变 以 上 安全 策略 的 行为 都 进行 报警 和 采取 锁定 计算 机 的 响 
应 策略 ; 
〈10) 由 主管 领导 亲自 掌握 设置 屏幕 监视 的 权限 ， 对 指定 的 计算 机 进行 屏幕 监视 ，; 
(11) 定期 汇总 统计 文件 操作 记录 、 应 用 程序 记录 、 网 站 访问 记录 、 硬 件 设备 记录 和 
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6.8 网 络 安全 服务 


计算 机 网 络 是 一 个 不 断 发 展 和 完善 的 过 程 ， 同 样 网 络 安全 也 是 动态 变化 的 ， 特 别 是 新 
技术 和 新 应 用 的 出 现 ， 使 用 任何 一 种 “静态 ”或 者 号 称 “ 动 态 ” 防 范 的 产品 都 不 能 解决 一 
直 在 发 展 的 网 络 安全 问题 ， 因 为 在 现实 环境 中 : 

(1) 安全 是 动态 的 不 断 变化 和 发 展 的 过 程 ， 单 纯 的 产品 部 署 无 法 确保 整体 安全 

(2) 安全 建设 是 一 项 复杂 的 系统 工程 ， 安 全 不 是 简单 的 产品 的 累加 ; 

(3) 安全 产品 无 法 解决 所 有 问题 ; 

C4) 人员 的 操作 水 平和 系统 的 复杂 性 之 间 的 差距 , 造成 现 有 的 系统 管理 员 对 目前 先进 、 
复杂 的 网 络 的 管理 能 力 有 限 。 

网 络 安全 绝 不 是 安装 几 个 流行 的 网 络 安全 产品 就 能 解决 问题 的 ， 它 需要 合适 的 安全 体 
系 和 合理 的 安全 产品 组 合 ， 需 要 根据 网 络 及 网 络 用 户 的 情况 和 需求 规划 、 设 计 和 实施 一 定 
的 安全 策略 以 及 其 他 多 种 安全 服务 。 

安全 服务 与 安全 产品 是 相辅相成 的 , 一 方面 ,脱离 服务 的 产品 无 法 发 挥 其 固有 的 功能 
另 一 方面 ， 脱 离 产品 的 服务 只 能 是 纸上谈兵 、 空 中 楼 阁 。 

安全 服务 的 重要 意义 在 于 以 下 几 个 方面 

(1) 如 何 使 安全 产品 发 挥 应 有 的 作用 ， 以 及 如 何 评价 和 验证 安全 产品 的 有 效 性 ? 

(2) 安全 产品 、 安 全 服务 、 安 全 管理 以 及 人 员 教 育 都 是 安全 体系 建设 中 不 可 缺 一 的 
部 分 。 

(3) 安全 产品 解决 不 了 所 有 的 安全 问题 。 

对 安全 事件 的 处 理 不 能 只 靠 事后 处 理 〈 应 急 响 应 ) ， 而 应 该 通过 系统 的 网 络 安全 服务 
建立 起 完整 的 网 络 信息 安全 体系 ， 做 到 预先 防御 和 保障 。 


6.8.1 借用 安全 评估 服务 帮助 我 们 了 解 自身 安全 性 


为 了 系统 全 面 地 了 解 计 算 机 网 络 系统 的 安全 性 ， 需 要 通过 安全 评估 来 实现 ， 安 全 检查 
的 评估 项 目 包括 如 下 内 容 : 

(1) 网 络 基础 环境 与 结构 ; 

(2) 网 络 应 用 系统 ; 

@ 服务 器 ， 工 作 站 

@ 网 络 设备 

@ 应 用 服务 

@ 数据 库 

(3) 信息 资产 的 分 类 与 控制 ; 

(4) 数据 通信 与 存储 状况 ; 

(5) 组 织 在 信息 安全 方面 的 政策 与 制度 ; 

(6) 安全 策略 实施 与 应 用 状况 。 

对 网 络 应 用 系统 的 评估 可 以 采用 现场 评估 和 远程 评估 两 种 方式 提供 分 析 报 告 ， 评 估 内 
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容 包 括 以 下 几 个 方面 。 


1 


主机 安全 评估 CUNIX 平台 ) 


(1) 系统 类 型 


SunOS 5.5-8 
Solaris2.5-8 
Linux 
*BSD 


(2) 用 户 安全 


控制 台 安全 

用 户口 令 安全 

用 户 文 件 及 目录 许可 权限 安全 
其 他 


(3) 操作 系统 安全 


系统 日 志 / 审 计策 略 

受信 主机 安全 

安全 终端 设置 

系统 文件 完整 性 及 存 取 许可 安全 
SUID/SGID 许可 程序 安全 

其 他 


(4) 网 络 服务 安全 


HTTP 服务 安全 
DNS 服务 安全 

网 络 文件 系统 NFS 安全 
Telnet 服务 安全 
FTP 服务 安全 
SMTP 服务 安全 
POP 服务 安全 
Finger 服务 安全 

义 window 系统 安全 
RPC 服务 安全 

其 他 网 络 服务 安全 


(5) 系统 程序 安全 


2. 


危险 程序 访问 权限 

后 门 程序 检测 

提供 评估 报告 

主机 安全 评估 “Windows 平台 ) 


(1) 系统 版 本 


Windows NT 
Windows 2000 
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Windows XP 
Windows 2003 


(2) 用 户 安全 


口令 安全 管理 
账户 锁定 设置 选项 
来 宾 账 号 安全 管理 
其 他 


(3) 操作 系统 安全 


文件 系统 安全 特性 

设置 审计 策略 

进行 组 管理 

信任 域 的 管理 主要 基于 LAN) 
其 他 


(4) 网 络 服务 安全 


HTTP 服务 安全 
DNS 服务 安全 
Telnet 服务 安全 
FTP 服务 安全 
SMTP 服务 安全 
POP 服务 安全 
Windows 服务 安全 
共享 服务 安全 
Proxy 服务 安全 
其 他 网 络 服务 安全 


(5) 系统 程序 安全 


3. 
采用 专用 主机 安全 扫描 设备 对 主机 的 安全 状况 进行 分 析 和 检测 。 
4. 


© me ee ee 


危险 程序 访问 权限 
后 门 程序 检测 
主机 安全 扫描 


互联 网 应 用 评估 
Web Servers 
CGI 程序 安全 

其 他 


.数据 库 安全 评估 


数据 库 (SQL Server) 
数据 库 (Oracle，Sybase) 


.网 络 安全 设备 评估 


防火 墙 
IDS 
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加 密 机 

物理 隔离 

其 他 

.网 络 效率 及 故障 检测 

网 络 流量 分 析 

对 可 疑 内 容 的 检测 和 分 析 

网 络 协议 及 性 能 的 分 析 

提供 分 析 报 告 

渗透 测试 

在 客户 许可 和 可 控 的 情况 下 ， 采 用 常用 的 黑客 攻击 手法 ， 模 拟 黑客 攻击 
提供 分 析 报 告 

.入 侵 检 测 

安装 部 署 入 侵 检 测 系统 ， 提 供 入 侵 检 测报 告 
定期 向 管理 员 提 供 入 侵 检 测报 告 


6.8.2 ”采用 安全 加 固 服务 来 增强 信息 系统 的 自身 安全 性 


安全 加 固 服务 就 是 利用 多 种 技术 手段 对 网 络 信息 系统 中 的 操作 系统 平台 和 重要 的 网 络 
设备 提供 安全 加 固 和 配置 优化 ， 安 全 产品 只 能 从 表面 上 隐蔽 安全 隐患 ， 而 安全 加 固 服务 则 
可 以 从 本 质 上 清除 安全 隐患 ， 购 买 和 部 署 安全 产品 从 广义 上 讲 也 应 归属 于 安全 加 固 服务 中 
的 一 个 应 用 手段 。 

安全 加 固 服务 的 内 容 包括 以 下 内 容 。 

(1) 操作 系统 安全 修补 、 加 固 和 优化 ; 

(2) 应 用 服务 安全 修补 、 加 固 和 优化 ; 

(3) 网 络 设备 安全 修补 、 加 固 和 优化 ; 

(4) 现 有 安全 制度 与 策略 的 改进 和 完善 ， 具 体 包 括 以 下 内 容 

机 房管 理 ， 名 办 公 环 境 管理 ，@ 主 机 系统 管理 ，@ 数 据 管理 ，@@ 用 户 管理 ，@ 安 全 
设备 管理 ，@ 物 理 设备 管理 ，@ 网 络 应 用 管理 ，@ 应 用 业务 系统 管理 ，@0 数 据 库 管理 等 。 
6.8.3 ”部署 专用 安全 系统 和 设备 提升 安全 保护 等 级 


面 对 企 业 级 的 安全 保护 需求 ， 我 们 可 以 借助 目前 成 熟 的 安全 技术 和 产品 来 帮助 提升 整 
体 安全 保护 等 级 。 目 前 适合 企业 级 的 成 熟 的 安全 技术 和 产品 有 : 

(1) Firewall 防火 墙 (首选 网 络 版 ， 备 用 单机 版 ) ; 

(2) IDS 入 侵 检测 〈 首 选 网 络 版 ， 备 用 单机 版 ) ; 

(3) VPN 虚拟 专用 网 (首选 PSEC 版 ， 备 用 SSL 版 ) ; 

(4) PKICA; 

(5) 防 杀 病毒 (网 关 型 ， 服 务 器 型 ， 桌 面 型 〉。 


6.8.4 ”加强 安 全 教育 培训 来 减少 和 避免 安全 事件 的 发 生 


在 整个 安全 体系 建设 中 ， 人 是 最 重要 的 因素 ， 针 对 人 所 进行 的 安全 培训 也 就 成 为 了 本 
要 内 容 。 安 全 培训 内 容 包 括 : 
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(1) 黑客 攻击 与 防御 相关 技术 ; 

(2) 网 络 应 用 系统 安全 (网 络 设备 、 操 作 系 统 、 应 用 服务 〉; 
(3) 安全 产品 技术 与 应 用 ; 

(4) 信息 安全 管理 体系 ; 

(5) 信息 安全 整体 解决 方案 。 


6.8.5 引入 应 急 响 应 服务 及 时 有 效 地 处 理 重大 安全 事件 


1. 安全 应 急 响 应 服务 的 特点 

(1) 技术 复杂 性 与 专业 性 

各 种 硬件 平台 、 操 作 系 统 、 应 用 软件 。 

(2) 知识 经 验 的 依赖 性 

由 计算 机 安全 事件 应 急 小 组 CSIRT (Computer Security Incident Response Team) 中 的 
人 提供 服务 ， 而 不 是 一 个 硬件 或 者 软件 产品 。 

(3) 突 发 性 和 时 效 性 强 

(4) 需要 广泛 的 协调 与 合作 

2. 应 急事 件 

(1) 大 规模 病毒 爆发 

(2) 网 络 入 侵 事 件 

(3) 拒绝 服务 攻击 

(4) 主机 或 网 络 异常 事件 

3. 应急 服务 内 容 

(1) 协助 恢复 系统 到 正常 工作 状态 

(2) 协助 检查 入 侵 来 源 、 时 间 、 方 法 等 

(3) 对 网 络 进行 评估 ， 找 出 其 他 网 络 安全 隐患 

(4) 做 出 事故 分 析 报告 

(5) 跟踪 用 户 运 营 情 况 
6.8.6 ”借助 安全 通告 服务 对 安全 威胁 提前 预警 

安全 信息 通告 包括 以 下 内 容 : 

(1) 紧急 事件 通告 ; 

(2) 业界 动态 ; 

(3) 最 新 技术 发 展 ; 

(4) 国家 安全 政策 及 法 律 法 规 。 

只 有 积极 主动 地 建立 起 一 套 完备 的 安全 服务 保障 体系 ， 才 能 够 真正 有 效 地 解决 安全 问 
题 ， 而 不 是 仅仅 依靠 事后 处 理 〈 应 急 响 应 ) 。 


6.9 操作 案例 


解决 局 域 网 安全 问题 需要 用 多 种 方式 来 进行 解决 ， 其 中 主要 的 两 种 方式 就 是 通过 合理 
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配置 提高 系统 安全 性 和 安装 监控 管理 软件 来 保证 系统 的 安全 ， 下 面 我 们 就 这 两 个 方面 做 一 
个 简单 的 介绍 。 


6.9.1 通过 配置 来 增强 系统 安全 性 


注册 表 中 保存 有 计算 机 系统 安全 设置 的 大 多 数 ， 通 过 注册 表 的 合理 配置 可 以 增强 计算 
机 在 局 域 网 中 的 安全 性 。 

1. 隐藏 计算 机 名 

为 了 保护 计算 机 上 的 资源 不 受 其 他 人 的 非法 访问 和 攻击 ， 有 时 需要 把 局 域 网 中 指定 的 
计算 机 名 称 隐藏 起 来 ， 让 其 他 局 域 网 用 户 无 法 访问 到 。 

具体 的 操作 步骤 如 下 。 

(1) 打开 注册 表 编 辑 器 ， 选择 “HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet 

\Services\LanmanServer\Parameters” 注 册 表 键 ， 如 图 6-1 所 示 。 


图 6-1 隐藏 计算 机 名 设置 前 
(2) 用 鼠标 单 击 窗口 右边 的 Hidden 键 名 称 ， 如 果 未 发 现 此 键 名 称 ， 在 窗口 右边 的 空 
白 处 右 击 ， 从 菜单 中 选择 “新 建 ”|“ 双 字 节 值 ”命令 ,新 建 一 个 名 称 为 Hidden 的 键 ， 将 其 
值 设 置 为 “1”， 如 图 6-2 所 示 。 


ET 二 
注册 表 () 


图 6-2 隐藏 计算 机 名 设置 后 

(3) 关闭 注册 表 编 辑 器 ， 然 后 重新 启动 计算 机 以 后 ， 该 计算 机 就 被 隐藏 了 。 

2. 防止 其 他 人 非法 编辑 注册 表 

计算 机 的 大 量 安全 设置 都 在 注册 表 中 ， 所 以 保护 好 注册 表 中 的 设置 ， 防 止 非法 对 注册 
表 进 行 任意 修改 是 提高 安全 性 的 一 个 重要 内 容 。 

具体 方法 如 下 。 

(1) 打 开 注 册 表 编辑 器 , 选择 “HKEY_CURRENT _USER\Software\Microsoft\ Windows\ 
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CurrentVersion\Policies ”注册 表 键 ， 如 图 6-3 所 示 。 


EE = 加 习 
E23 
T 王 E23 
REG Sz (人 当 生 未 设 早 
| yl| 
i 


图 6-3 ”禁止 访问 注册 表 前 
(2) 在 Policies 键 值 的 下 面 新 建 一 个 名 为 System 的 主键 ， 右 击 Policies 键 ， 在 弹出 的 
菜单 中 选择 “新 建 ”|“ 项 ”命令 ， 将 新 建 的 键 名 称 设置 为 System， 如 图 6-4 所 示 ， 如 果 该 
主键 已 经 存在 的 话 ， 可 以 直接 进行 下 一 步 。 


ETEEEE 四 
CEEEEEE 


图 6-4 添加 System 键 窗口 
(3) 选择 新 建立 的 System 键 ， 在 右边 窗口 的 空白 处 右 击 ， 再 弹出 的 菜单 中 选择 “新 
建 ”|“ 双 字 节 值 ”命令 ， 新建 一 个 DWORD 串 值 ， 设 置 其 名 称 为 DisableRegistryTools， 设 
置 其 值 为 “1”， 如 图 6-5 所 示 。 


EECEEI al 
注册 家 iE) 蚁 可 亿 查看 IY) 


肥 市- 遇 - 遇 -市 人 -村 本 -| 
DT 一 加 上 图 


上 


图 6-5 添加 DisableRegistryTools 键 
(4) 设置 好 以 后 ， 重 新 启动 计算 机 就 可 以 达到 防止 其 他 人 非法 编辑 注册 表 的 目的 了 。 
3. 禁止 对 控制 面板 的 访问 
控制 面板 中 涉及 到 计算 机 系统 的 安全 设置 ， 防 止 非法 修改 控制 面板 设置 对 提高 系统 安 
全 性 具有 重要 意义 。 
具体 的 操作 方法 如 下 。 
(1) 打开 注册 表 编 辑 器 ,选择 “HKEY_CURRENT _USER\Software\Microsoft\ Windows\ 
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CurrentVersion\Policies\System” 注 册 表 键 ， 如 图 6-6 所 示 。 


3 
Er 


图 6-6 禁止 对 控制 面板 的 访问 前 


(2) 在 窗口 右边 的 空白 部 分 右 击 ， 在 弹出 菜单 中 选择 “新 建 ”|“ 双 字 节 值 ”命令 ， 
将 新 键 名 称 设置 为 NoDispCPL， 将 其 值 设置 为 “1”， 如 图 6-7 所 示 。 


ETEEEE 四 
证 用 家 人 总 日， 查 香 


图 6-7 禁止 对 控制 面板 访问 后 
(3) 关闭 注册 表 编 辑 器 ， 重 新 启动 计算 机 ， 控 制 面板 被 禁止 访问 了 。 
4. 禁止 拨号 访问 
局 域 网 内 的 计算 机 安全 性 可 能 不 是 很 高 ， 通 过 拨号 与 外 部 网 络 进行 连接 时 ， 得 不 到 企 
业 防 火 墙 的 保护 ， 所 以 很 容易 引入 安全 问题 ， 所 以 尽量 避免 通过 拨号 来 访问 外 部 网 络 。 
(1) 打开 注册 表 编 辑 器 ， 选 择 “HKEY LOCAL MACHINE\Software\Microsoft\ 
Windows\CurrentVersion\Policies” 注 册 表 键 ， 如 图 6-8 所 示 。 


EECEE -olxl 
Er 


图 6-8 禁止 拨号 前 


(2) 右 击 Policies， 在 弹出 的 菜单 中 选择 “新 建 ”|“ 双 字 节 值 ” 命 令 ， 将 新 建 的 键 名 
称 设置 为 Network， 在 窗口 右边 的 部 分 右 击 ， 在 弹出 的 菜单 中 选择 “新 建 ”|“ 双 字 节 值 ” 
命令 ,将 键 名 称 设置 为 NoDialm， 其 对 应 的 值 为 0 表示 禁止 拨号 ， 为 1 表示 允许 拨号 ， 所 
以 将 其 值 设置 为 “0”， 如 图 6-9 所 示 。 
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注册 表 (E) 综 怪 个 查 者 (VY 收 栾 全) 大 中 
ET 可 到 3 


RE 


图 6-9 禁止 拨号 访问 设置 
(3) 关闭 注册 表 编 辑 器 ， 重 新 启动 计算 机 ， 拨 号 访问 的 功能 就 被 禁止 了 。 
5. 只 允许 运行 特定 程序 
计算 机 系统 的 安全 问题 ， 有 相当 一 部 分 都 是 运行 了 某 个 非法 程序 而 造成 的 ， 所 以 为 了 
计算 机 系统 的 安全 ， 限 定 用 户 只 能 运行 一 些 安全 的 程序 可 以 有 效 提高 系统 的 安全 性 。 
操作 步骤 如 下 。 
(1) 打开 注册 表 编 辑 器 , 选择 “HKEY_CURRENT _USER\Software\Microsoft\Windows\ 
CurrentVersion\Policies\Explorer” 键 ， 如 图 6-10 所 示 。 


ET 二 加 习 
EECESEET 


图 6-10 禁止 运行 程序 设置 前 
(2) 右 击 窗口 左边 的 Explorer 项 ， 在 弹出 菜单 中 选择 “新 建 ”|“ 项 ”命令 ， 设 置 项 
的 名 称 为 RestrictRun， 然 后 在 窗口 右边 空白 处 右 击 ， 从 弹出 菜单 中 选择 “新 建 ”| “字符 串 ” 
命令 ， 将 其 名 称 设置 为 “1”， 其 值 设 置 为 NotePad.exe， 如 图 6-11 所 示 。 


Moiese 


ly 1 | 


图 6-11 新 建 字符 串 
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(3) 设置 完成 后 ， 重 新 启动 计算 机 ， 就 只 有 设置 的 程序 才能 运行 ， 而 不 能 运行 其 他 的 
非法 程序 ， 让 计算 机 的 安全 得 到 保障 。 


提示 : 当 限 制 非法 程序 运行 时 ， 设 置 的 项 目 中 要 包含 常用 的 程序 ， 比 如 注册 表 编 辑 器 
regedit.exe， 这 样 当 需要 修改 或 者 添加 时 才能 方便 地 进行 ， 不 然 会 比较 麻烦 。 


6.9.2 计算 机 外 设 管理 


计算 机 外 设 ( 包 括 光驱 、 软 驱 、USB 接口 、 打 印 机 、 刻 录 机 、 串 口 、 并 口 等 ) 作为 计 
算 机 对 外 信息 交换 的 通道 , 这 些 外 设 为 计算 机 与 外 界 进行 信息 交换 提供 了 非常 方便 的 途径 ， 
比如 一 张 普通 刻录 光盘 容量 达 600 多 MB， 移 动 硬盘 的 容量 都 在 几 十 GB， 甚 至 上 百 GB， 
通过 将 计算 机 接 入 企业 内 部 网 络 复制 文件 等 ， 通 过 这 些 途 径 ， 足 以 将 企业 内 的 所 有 重要 文 
件 资料 复制 带 出 企业 ， 所 以 对 企业 局 域 网 中 计算 机 的 外 设 进行 有 效 管 理 具有 重要 意义 。 下 
面 我 们 以 北京 世 优 时 代 科 技 有 限 公 司 开发 的 一 款 计 算 机 外 设 管理 软件 来 进行 说 明 。 

有 具体 的 操作 过 程 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 计 算 机 外 设 监控 系统 ”|“ 设 备 控制 服务 器 ”命令 ， 出 
现 程序 主 窗口 ， 如 图 6-12 所 示 。 


图 6-12 设备 控制 服务 器 主 界面 

(2) 双击 窗口 右 侧 的 计算 机 列表 项 , 可 以 看 到 该 计算 机 的 外 设 状态 并 可 以 对 该 计算 机 
对 应 的 外 设 进行 操作 《〈 启 用 或 禁止 ) ， 如 图 6-13 所 示 。 

(3) 在 外 设 设 置 窗口 中 ， 取 消 “ 串 口 ” 复 选 框 的 选择 ， 就 达到 禁止 该 计算 机 使 用 串口 
进行 通信 的 目的 ， 然 后 单 击 “ 确 定 ” 按 钮 。 右 击 桌面 上 的 “我 的 电脑 ”， 从 弹出 菜单 中 选 
择 “ 属 性 ”命令 ， 在 出 现 的 “系统 特性 ”对 话 框 中 选择 “硬件 ”选项 卡 ， 单 击 “ 设 备 管理 
器 ”按钮 ， 出 现 “ 设 备 管理 器 ”窗口 ， 可 以 看 到 串口 已 经 被 禁止 使 用 ， 如 图 6-14 所 示 。 

(4) 通过 该 系统 对 局 域 网 中 的 计算 机 外 设 进行 控制 , 可 以 非常 方便 地 随时 根据 工作 的 
需要 开启 对 应 的 外 设 接口 进行 使 用 ， 使 用 完成 后 再 对 其 禁止 。 

(5) 单 击 工具 栏 上 的 “启动 ”按钮 ， 可 以 禁止 外 部 计算 机 接 入 企业 内 部 网 络 ， 在 窗口 
右 侧 最 下 面 的 列表 中 显示 的 就 是 非法 接 入 企业 内 部 网 络 的 计算 机 ， 系 统 会 提示 有 非法 计算 
机 的 同时 阻止 该 计算 机 接 入 内 部 网 络 ， 如 图 6-15 所 示 。 
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图 6-15 系统 阻止 非法 计算 机 窗口 
(6) 当 因 工作 需要 接 入 外 部 计算 机 的 时 候 ， 可 以 通过 右 击 非法 计算 机 ， 从 弹出 菜单 中 
选择 “设置 为 合法 ”命令 ， 就 可 以 将 该 计算 机 设置 为 合法 计算 机 ， 系 统 就 不 会 阻止 该 计算 
机 接 入 网 络 进行 工作 ， 注 意 当 工作 完成 的 时 候 ， 一 定 要 将 该 计算 机 设置 为 非法 。 另 外 ， 还 
可 以 将 该 计算 机 设置 为 临时 合法 ， 分 配 一 个 固定 的 时 间 ， 比 如 30 分 钟 ， 时 间 到 达 的 时 候 ， 
系统 自动 再 将 其 设置 为 非法 。 
(7) 当 系 统 安装 完成 的 时 候 ， 首 先 需要 配置 的 就 是 内 部 计算 机 ， 和 否则 所 有 的 计算 机 都 
会 作为 外 部 计算 机 来 对 待 ， 就 会 被 阻止 接 入 网 络 。 单 击 工具 栏 窗 口上 的 “选项 ”按钮 ， 出 
现 “ 参 数 设 置 ”对 话 框 ， 选 择 “ 内 部 计算 机 ”选项 卡 ， 如 图 6-16 所 示 。 
(8) 单 击 “ 添 加 ”按钮 ， 出 现 “ 添 加 合法 计算 机 ”对 话 框 ， 如 图 6-17 所 示 。 
(9) 在 “添加 合法 计算 机 ”窗口 中 ，“ 计 算 机 信息 ”列表 框 中 显示 了 系统 扫描 局 域 网 
得 到 的 计算 机 信息 ， 可 以 选择 列表 中 的 计算 机 ， 也 可 以 直接 输入 计算 机 信息 来 添加 合法 的 
计算 机 ， 设 置 完成 后 ， 单 击 “ 确 定 ”按钮 ， 符 合 指定 信息 的 计算 机 就 会 被 添加 到 合法 计算 
机 列表 中 。 
提示 : 如 果 知 道 需要 添加 的 计算 机 的 中 信息， 而 不 知道 其 Mac 地 址 和 计算 机 名 ， 在 该 
计算 机 接 入 网 络 的 情况 下 ， 可 以 在 “IP 地 址 ”文本 框 中 填 入 IP 地址 ， 然 后 单 击 
“Mac 地 址 ”文本 框 后 面 的 “自动 ”按钮 ， 而 得 到 Mac 地 址 ， 单 击 “ 计 算 机 名 ” 
文本 框 后 面 的 “自动 ”按钮 得 到 该 计算 机 的 计算 机 名 。 
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图 6-16 内 部 计算 机 设置 窗口 图 6-17 “添加 合法 计算 机 ”对 话 框 
(10) 选择 主 窗口 上 的 “文件 ” |“ 设备 日 志 ” 命 令 ， 可 以 看 到 系统 中 计算 机 外 设 使 用 
状态 的 改变 情况 ， 如 图 6-18 所 示 。 


图 6-18 计算 机 外 设 变动 日 志 
(11) 选择 主 窗 口上 的 “文件 ” |“ 电脑 ”命令 ， 可 以 看 到 接 入 和 断 开 系统 网 络 的 计算 


机 信息 ， 以 便 了 解 有 哪些 计算 机 接 入 到 企业 内 部 网 络 中 ， 如 图 6-19 所 示 。 


RE 
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图 6-19 计算 机 接 入 网 络 日 志 信 息 


(12) 通过 该 系统 可 以 实现 对 局 域 网 内 计算 机 外 设 使 用 状态 和 外 部 计算 机 接 入 内 部 局 
域 网 的 情况 进行 监控 。 
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6.9.3 局域网 资产 管理 


局 域 网 中 的 资产 包括 硬件 资产 和 软件 资产 ， 通 过 专门 的 软件 系统 对 这 些 资产 进行 管理 
不 仅 可 以 大 大 提高 管理 效率 ， 而 且 还 能 为 企业 的 信息 化 发 展 提供 相关 依据 ， 下 面 我 们 以 北 
京 世 优 时 代 科技 有 限 公司 开发 的 一 款 资 产 管理 软件 来 进行 说 明 。 
有 具体 操作 步骤 如 下 。 
(1) 选择 “开始 ” |“ 程序” |“ 网络 综 合 管理 信息 系统 ”|“ 网 络 资产 管理 系统 ”命令 ， 
出 现 资产 管理 系统 主 窗口 ， 如 图 6-20 所 示 。 


[£83gyg 
Ee 
F 


图 6-20 资产 管理 系统 主 窗口 

(2) 单 击 工具 栏 上 的 “刷新 ”按钮 ， 系 统 可 以 自动 扫描 局 域 网 内 的 计算 机 ， 并 将 扫描 
到 的 计算 机 信息 显示 在 右边 的 窗口 中 。 选 择 一 条 记录 ， 右 击 该 记录 ， 从 弹出 的 快捷 菜单 中 
可 以 选择 “远程 安装 ”、“ 远 程 卸载 ”、“ 获 取 资 产 ”、“ 更 新 配置 ”、“ 碍 看 文件 ”5 
种 操作 。 

(3) 选择 “远程 安装 ”命令 ， 弹 出 要 求 输入 用 户 名 和 密码 的 窗口 ， 如 图 6-21 所 示 。 

(4) 在 窗口 中 输入 用 户 名 和 密码 ， 单 击 “ 确 定 ” 按 钮 ， 出 现 新 窗口 ， 要 求 数据 特定 客 
户 端 计算 机 的 信息 ， 如 图 6-22 所 示 。 
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6-21 输入 客户 端 管理 员 账 号 图 6-22 客户 端 计算 机 信息 窗口 


(5) 输入 相关 信息 后 ， 单 击 “ 继 续 ” 按 钮 ， 完 成 对 客户 端的 自动 安装 并 第 一 次 将 客户 
端的 数据 上 传 到 服务 器 端 , 从 窗口 最 下 面 的 日 志 信息 中 可 以 看 到 安装 信息 , 如 图 6-23 所 示 。 
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图 6-23 客户 端 安装 信息 
(6) 在 右边 窗口 中 选择 刚才 已 经 完成 客户 端 安装 的 计算 机 , 然后 单 击 工具 栏 上 的 “ 资 
产 ” 按 钮 ， 出 现 该 计算 机 的 资产 查看 窗口 ， 如 图 6-24 所 示 。 
CI 
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图 6-24 资产 查看 窗口 


(7) 在 资产 查看 窗口 中 ， 可 以 对 系统 中 的 资产 按照 不 同 的 分 类 进行 查询 ， 比 如 按 计算 
机 、 按 资产 类 型 、 按 事件 类 型 (主要 记录 局 域 网 中 资产 变动 情况 ) 进行 查询 。 

(8) 双击 窗口 左边 的 “ 按 计 算 机 查询 ”， 弹 出 查询 条 件 设 置 对 话 框 ， 如 图 6-25 所 示 。 

(9) 设置 好 查询 条 件 以 后 ， 单 击 “ 确 定 ” 按 钮 ， 在 “ 按 计 算 机 查询 ”项 下 面 的 几 项 中 
显示 的 内 容 都 是 按照 这 里 的 条 件 进行 的 。 

(10) 双击 窗口 左边 的 “ 按 资产 查询 ”， 弹 出 查询 条 件 设置 对 话 框 ， 如 图 6-26 所 示 。 

(11) 设置 好 查询 条 件 以 后 ， 单 击 “ 确 定 ” 按 钮 ， 在 “ 按 资 产 查询 ”项 下 面 的 几 项 中 
显示 的 内 容 都 是 按照 这 里 的 条 件 进行 的 。 

(12) 系统 除了 提供 查询 功能 以 外 ， 还 提供 了 多 种 统计 功能 ， 单 击 窗口 左边 的 “资产 
统计 ”选项 卡 ， 通 过 展开 窗口 上 的 树 行 项 目 可 以 看 到 系统 的 统计 功能 。 如 图 6-27 所 示 。 
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图 6-25” 按 计算 机 查询 资产 图 6-26 ” 按 资 产 查 询 条件 设 置 
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图 6.27 资产 统计 窗口 
(13) 通过 双击 资产 统计 项 目 即 可 完成 对 应 的 统计 ， 并 将 统计 结果 显示 在 右 侧 的 窗口 


中 ， 选 择 “ 资 产 统计 ”|“ 按 资产 统计 ”|“ 补 丁 ” 并 双击 ， 统 计 信息 将 显示 在 窗口 右 侧 ， 如 
图 6-28 所 示 。 
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图 6-28 补丁 统计 信息 
(14) 系统 提供 了 几 项 管理 功能 ， 包 括 “ 资 产 盘点 ”、“ 报 表 输 出 ”、“ 数 据 导入 ”、 
“数据 导出 ”、 


“数据 备份 ”， 单 击 左边 窗口 下 面 的 “管理 工具 ”选项 卡 ， 可 以 看 到 管理 
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工具 的 几 个 具体 项 目 ， 如 图 6-29 所 示 。 


2 E33 
E33 3 
2 222 
2 22 
和 3 
三 3 
证 3 
3 3 
E33 3 
2 2 
22 2 
3 E33 


图 6-29 管理 工具 窗口 


(15) 双击 “管理 工具 ”窗口 中 的 “导出 数据 ”， 出 现 导出 文件 路 径 和 文件 名 设置 对 
话 框 ， 如 图 6-30 所 示 。 


图 6-30 设置 导出 文件 路 径 和 文件 名 的 对 话 框 


(16) 设置 完成 后 ， 单 击 “ 保 存 ” 按 钮 ， 右 边 窗口 中 的 内 容 全 部 被 导出 到 了 Excel 文 
件 中 ， 可 以 进行 更 加 灵活 的 处 理 ， 如 图 6-31 所 示 。 
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图 6-31 导出 Excel 窗口 中 的 数据 


至 此 ， 我 们 对 该 软件 的 基本 功能 就 介绍 完了 ， 有 些 内 容 没 有 做 详细 的 介绍 ， 读 者 可 以 
将 没有 介绍 的 部 分 进行 练习 ， 比 如 打印 输出 等 。 
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. 简 述 安全 评估 在 网 络 安全 规划 中 的 作用 。 
. 简 述 网 络 系统 面临 的 风险 主要 包括 哪些 。 
. 简 述 网 络 安全 方案 的 设计 原则 。 

. 简 述 网 络 安全 体系 结构 包括 哪些 内 容 。 
. 简 述 网 络 安全 技术 及 其 应 用 情况 。 

， 简 述 无 线 局 域 网 的 安全 问题 及 解决 办 法 。 
， 简 述 网 络 安全 服务 的 内 容 。 
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教学 提示 

目前 世界 上 规模 最 大 的 计算 机 广域网 是 Internet 网 ( 即 国际 互联 网 ) ， 本 书 所 讨论 的 广 
域 网 安全 管理 就 是 基于 Internet 网 的 网 络 安全 管理 。 近 年来，Intemet 网 取得 了 飞速 的 发 展 ， 
通过 提供 丰富 的 网 络 服务 ， 吸 引 了 大 量 的 网 络 用 户 ， 这 些 用 户 包括 政府 部 门 、 工 商 企业 、 
学 校 、 医 院 和 个 人 ， 同 时 网 络 安全 事故 频繁 出 现 ， 从 一 定 程度 上 阻碍 了 其 发 展 。 

本 章 将 从 广域网 的 发 展 、 广 域 网 的 应 用 、 广 域 网 安全 重要 性 以 及 广域网 可 能 面临 的 安 
全 风险 和 相关 的 安全 技术 进行 探讨 。 特 别 对 跨 广 域 网 的 企业 信息 系统 、 电 子 商 务 、 电 子 政 
务 所 面临 的 安全 挑战 和 解决 方案 进行 了 探讨 。 

通过 对 本 章 的 学 习 ， 应 当 充 分 掌握 广域网 安全 的 重要 性 ， 清 楚 广 域 网 面临 的 各 种 安全 
风险 ， 掌 握 各 种 广域网 信息 安全 技术 的 基本 知识 。 理 解 要 进一步 发 展 基于 广域网 的 应 用 ， 
做 好 广域网 信息 安全 管理 工作 具有 重要 意义 。 
教学 重点 

@ 广域网 可 能 面临 的 信息 安全 风险 。 

@ 防火 墙 在 广域网 中 的 应 用 。 

@ VPN 技术 在 广域网 中 的 应 用 。 

@ 基于 广域网 的 电子 商务 安全 。 

@ 基于 广域网 的 电子 政务 安全 。 


7.1 广域网 的 风险 


21 世纪 全 世界 的 计算 机 都 将 通过 Intemet 连 到 一 起 ， 随 着 Intemet 的 发 展 ， 网 络 丰富 的 
信息 资源 给 用 户 带 来 了 极 大 的 方便 ， 但 同时 也 给 上 网 用 户 带 来 了 安全 问题 。 由 于 Internet 
的 开放 性 和 超越 组 织 与 国界 等 特点 ， 使 它 在 安全 性 上 存在 一 些 隐 患 。 而 且 信 息 安全 的 内 涵 
也 发 生 了 根本 的 变化 。 它 不 仅 从 一 般 性 的 防卫 变 成 了 一 种 非常 普通 的 防范 ， 而 且 还 从 一 种 
专门 的 领域 变 成 了 无 处 不 在 。 

1. 网 络 入 侵 / 攻 击 〈 包 括 木 马 ) 

Internet 是 一 个 开放 的 、 无 控制 机 构 的 网 络 ， 黑 客 (Hacker) 经 常会 侵入 网 络 中 的 计算 
机 系统 ， 或 窃取 机 密 数据 和 盗用 特权 ， 或 破坏 重要 数据 ， 或 使 系统 功能 得 不 到 充分 发 挥 直 
至 瘫痪。 

2. 网 络 病毒 

计算 机 病毒 通过 Intemet 的 传播 给 上 网 用 户 带 来 极 大 的 危害 , 病毒 可 以 使 计算 机 和 计算 
机 网 络 系统 瘫痪 、 数 据 和 文件 丢失 。 在 网 络 上 传播 病毒 可 以 通过 公共 匿名 FTP 文件 传送 、 
也 可 以 通过 邮件 和 邮件 的 附加 文件 传播 。 
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3. 隐私 泄露 

上 网 账号 、QQ 密码 、 游 戏 账号 、 银 行 账号 、 邮 件 密 码 、 个 人 隐私 及 其 他 重要 个 人 信 
息 的 泄露 都 会 给 自己 带 来 不 同 程度 的 损失 和 不 便 ， 正 是 这 样 的 原因 ， 阻 碍 了 一 部 分 人 不 敢 
放心 地 使 用 网 络 。 
4. 网 上 收费 陷阱 
网 上 收费 陷阱 就 是 通过 一 些 不 实 宣传 或 者 误导 性 手段 ， 通 常 采用 的 手法 就 是 以 提供 免 
费 服务 为 名 义 ， 诱 导 用 户 申 请 某 些 自己 并 不 需要 的 网 络 服务 ， 然 后 向 客户 收取 费用 。 
5. 网 上 虚假 信息 
网 民 上 网 的 一 个 主要 目的 就 是 获取 信息 ， 以 满足 自己 的 应 用 需要 ， 如 果 网 上 存在 虚假 
信息 ， 那 么 必 将 给 网 民 带 来 损失 ， 必 然 的 结果 就 是 导致 人 们 失去 对 网 络 信息 的 信任 ， 最 后 
影响 网 络 的 健康 发 展 。 

6. 垃圾 邮件 

垃圾 邮件 多 数 是 广告 信息 ， 还 有 部 分 是 以 传播 病毒 、 木 马 程序 等 为 目的 ， 垃 圾 邮件 至 
少 有 三 大 直接 危害 。 

(1) 占用 大 量 传输 、 存 储 和 运算 资源 , 造成 邮件 服务 器 拥堵 ， 降低 了 网 络 的 运行 效率 ， 
严重 影响 正常 的 邮件 服务 

(2) 垃圾 邮件 以 其 数量 多 、 反 复 性 、 强 制 性 、 欺 骗 性 、 不 健康 性 和 传播 速度 快 等 特点 ， 
严重 干扰 用 户 的 正常 生活 ， 侵 犯 收 件 人 的 隐私 权 和 信箱 空间 ， 并 耗费 收 件 人 的 时 间 、 精 力 、 
金钱 。 

(3) 妖言 惑 众 、 骗 人 钱财 、 传 播 色情 、 反 动 等 内 容 的 垃圾 邮件 ， 已 经 对 现实 社会 造成 
危害 。 

7. 诱骗 /欺诈 /网 络 钓鱼 

网 络 钓鱼 (phishing) 是 在 网 络 上 盗窃 身份 的 一 种 形式 。 它 使 用 诱骗 性 的 电子 邮件 和 欺骗 
性 质 的 网 站 来 引诱 人 们 泄露 信用 卡号 、 注 册 用 户 名 、 密 码 和 社会 保障 号 码 等 个 人 财务 信息 ， 
盗 取 用 户 资金 。 一 般 情况 下 ， 不 法 分 子 利用 欺骗 性 的 电子 邮件 和 伪造 的 网 页 ， 骗 取 银 行 客 
户 输入 个 人 账户 资料 、 密 码 等， 并 利用 骗子 取得 用 户 卡 号 和 密码 ， 制 作成 假 的 银行 卡 ， 在 
ATM 上 取 钱 或 进行 网 上 支付 等 活动 ， 使 用 户 蒙受 经 济 损失 。 


7.2 防火墙 技 术 应 用 


防火 墙 作为 网 络 安全 体系 结构 中 基础 的 信息 安全 设备 , 在 与 mtermnet 的 网 络 中 , 起 着 安 
全 防范 作用 。 
7.2.1 ”防火墙 部 署 

防火 墙 作为 一 种 保护 内 部 网 络 免 受 攻击 的 重要 安全 技术 ， 需 要 部 署 在 内 部 网 络 和 外 部 
网 络 的 边界 处 。 根 据 具体 的 网 络 结构 不 同 ， 部 署 方式 有 所 区 别 ， 下 面 介绍 防火 墙 在 几 种 常 
见 的 网 络 结构 中 的 部 署 情况 。 
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普通 企业 环境 

这 是 最 为 普通 的 企业 环境 防火 墙 部 署 案例 。 利 用 防火 墙 将 网 络 分 为 三 个 安全 区 域 ， 企 
业内 部 网 络 ， 外 部 网 络 和 服务 器 专 网 DMZ 区 )。 内 部 网 络 一 般 采 用 私有 的 人 P 地 址 ，DMZ 
的 服务 器 可 以 采用 公 网 地 址 ， 也 可 以 采用 私有 地 址 ， 但 是 需要 在 防火 墙 上 做 相应 的 地 址 转 
换 来 保证 外 部 用 户 对 服务 器 的 正常 访问 。 一 般 常 用 的 安全 策略 是 : 外 部 网 络 不 允许 访问 内 
部 网 络 ， 内 部 网 络 用 户 可 以 根据 不 同 的 权限 访问 Intemet 资源 ; 内 部 用 户 和 外 部 用 户 只 允许 
访问 DMZ 区 指定 服务 器 的 指定 服务 。 有 具体 的 环境 如 图 7-1 所 示 。 

2. ADSL 接 入 的 部 署 

ADSL 接 入 是 一 种 经 济 实惠 的 Intemet 接 入 方式 , 防火 墙 提 供 了 对 ADSL 接 入 , 也 就 是 
PPPOE 拨号 的 支持 。 用 防火 墙 代 蔡 原 有 的 拨号 客户 端 来 连接 ADSL Modem,， 实 现 自动 拨号 
的 功能 , 可 以 配置 防火 墙 自动 做 一 条 动态 的 地 址 转换 , 实现 内 部 的 多 个 用 户 通过 一 条 ADSL 
实现 对 互联 网 的 访问 。 这 样 防火 墙 配置 的 一 般 策 略为 只 允许 内 部 网 络 访问 外 部 网 络 的 指定 
服务 。 具 体 的 环境 如 图 7-2 所 示 。 


/Ns 
(Internet 


ADSL Modem 


= 


本 em Linktrust Cyberwall 


图 7-1 普通 企业 防火 墙 部 署 图 7-2 防火 墙 代 蔡 ADSL 接 入 部 团 

3. 网 络 多 出 口 部 署 

经 常会 碰 到 企业 的 局 域 网 有 多 个 出 口 ， 比 如 Intemet 出 口 ， 总 部 出 口 等 。 防 火 墙 支持 将 
DMZ 接口 作为 一 个 外 网 接口 , 支持 多 出 口 的 接 入 。 例 如 我 们 可 以 将 防火 墙 的 外 网 口 Intemet 
接 入 服务 器 , 将 DMZ 口 接 入 总 部 接 入 的 服务 器 ， 如 图 7-3 所 示 ， 利 用 路 由 的 选择 来 分 流 去 
往 两 个 区 域 的 流量 , 可 以 将 默认 的 网 关 指 向 Intemet 处 的 路 由 器 , 添加 相应 的 去 往 总 部 网 络 
方向 的 路 由 策略 。 然 后 针对 不 同 的 网 络 之 间 的 数据 通信 ， 采 用 相应 的 安全 策略 。 另 外 的 一 
种 多 出 口 的 接 入 方式 也 可 以 用 两 个 防火 墙 的 方式 ， 分别 对 应 于 相应 的 链 路 ， 如 图 7-4 所 示 ， 
这 种 方式 也 可 以 利用 路 由 的 选择 来 实现 。 

单 台 防火 墙 实 现 多 出 口 的 接 入 如 图 7-3 所 示 。 

两 台 防火 墙 实现 多 出 口 的 接 入 如 图 7-4 所 示 。 

4. 高 可 靠 性 配置 的 部 署 

高 可 靠 性 网 络 的 部 署 是 为 了 避免 因为 网 络 的 故障 和 设备 的 停工 造成 的 损失 。 防 火 墙 支 
持 全 面 的 高 可 靠 性 解决 方案 ， 包 括 防火 墙 之 间 的 元 余 配置 和 整体 链 路 的 元 余 配置 。 配 置 防 
火 墙 元 余 总 共 需 要 三 套 下 地 址 ， 其 中 每 个 防火 墙 有 一 套 自己 真实 的 地 址 〈 内 部 地 址 ， 外 部 
地 址 和 DMZ 区 地 址 ) ， 另 外 两 个 防火 墙 还 共享 一 套 虚拟 的 地 址 ， 而 真正 起 作用 的 正 是 这 
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套 真 实 的 地 址 ， 内 部 用 户 的 网 关 以 及 外 部 的 一 些 相关 的 路 由 设置 都 需要 指向 这 个 虚拟 的 地 
址 。 防 火 墙 的 心跳 传输 也 非常 灵活 ， 可 以 采用 单独 的 网 口 进行 心跳 ， 也 可 以 采用 某 一 条 网 
络 连 接 。 防 火 墙 本 身 的 元 余 配置 具体 的 环境 如 图 7-5 所 示 。 


人 有 A 
(Cw > (Internet = a 一 
| Router Router | es nternet 
Rd -入 入 
2 E> E> 

Linktrust Cyberwall pa 
fs - 国 一 r - 广 病 二 
Cw mm 全 ~ Switch 


图 7-3 单 台 防火 墙 实现 多 出 口 的 接 入 ”图 7-4 两 台 防 火 墙 实现 多 出 口 的 接 入 
整体 链 路 的 元 余 配置 如 图 7-6 所 示 。 


Linktrust Cyberwall Linktrust Cyberwall Linktrust Cyberwall Linktrust Cyberwall 
- 国 - 加 一 
~- E- 
人 i Switch (i id ™ Switeh Switeh 
图 7-5 ”防火墙 本 身 的 元 余 配置 图 7-6 整体 链 路 的 元 余 配置 
5， 分 布 式 网 络 环境 的 部 署 
分 布 式 的 环境 一 般 分 为 一 个 中 心 节点 和 多 个 全 ~ 
分 支 节点 ， 防 火 墙 支持 对 这 种 结构 的 整体 配置 。 一 ew eee nn 
般 来 说 ， 中 心 节点 采用 性 能 高 的 防火 墙 ， 可 以 采用 ee 
双 机 热 备份 的 模式 ， 保 证 网 络 的 可 靠 性 ， 对 于 较 大 me ~ 
的 有 专线 接 入 的 分 支 节点 ， 可 以 采用 防火 墙 , 一 方 (lntemet 
面 保证 该 分 支 网 络 的 边界 安全 ， 另 外 也 可 以 通过 人 NE 
VPN 功能 实现 与 总 部 的 信息 通信 的 安全 ; 对 于 没有 Te > 
专线 的 分 支 节点 ， 可 以 采用 防火 墙 自 带 的 对 子 网 拨 人 Cs: 


号 的 VPN 功能 ， 也 能 够 实现 与 总 部 之 间 的 安全 通 
信 。 如 图 7-7 所 示 。 图 7-7 分 布 式 网 络 环境 的 部 署 
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7.2.2 防火墙 的 配置 


防火 墙 的 具体 配置 方法 并 没有 统一 的 标准 ， 这 与 具体 的 产品 有 关 ， 主 要 原因 体现 在 三 
个 方面 : 〈1) 不 同 厂商 的 防火 墙 产 品 具 有 不 同 的 配置 风格 ; (2〉 相同 厂商 生产 的 不 同 用 
途 的 防火 墙 其 配置 方法 不 同 ; (3) 相同 厂商 的 同类 防火 墙 不 同 版 本 的 配置 方法 有 所 改变 。 
在 此 以 CISCO 公司 出 品 的 PIX 系列 防火 墙 的 配置 为 例 介绍 一 些 基本 的 配置 原则 。 

1. 配置 前 的 准备 工作 

CISCO 公司 开发 的 PIX 防火 墙 系列 设备 ， 主 要 起 到 策略 过 滤 ， 隔 离 内 外 网 ， 根 据 用 户 
实际 需求 设置 DMZ (隔离 区 ) 。 它 和 一 般 硬件 防火 墙 一 样 具 有 转发 数据 包 速 度 快 ， 可 设 定 
的 规则 种 类 多 ， 配 置 灵 活 的 特点 。 图 7-8 为 CISCO 的 一 款 产 品 的 外 观 。 

PIX 防火 墙 从 外 观 上 和 路 由 器 差不多 。 如 图 7-8 所 示 ， 正 面 没有 任何 接口 ， 只 显示 指 
示 灯 。 所 有 的 接口 都 在 PIX 防火 墙 的 背面 ， 如 图 7-9 所 示 。 


图 7-8 防火墙 产品 的 外 观 图 7-9 ”防火墙 的 背面 接口 

发 现 该 设备 接口 很 多 ， 从 RJ45 到 USB 接口 ， 从 显示 器 接口 到 电源 接口 。 我 们 进一步 
放大 背面 各 个 接口 可 以 看 得 更 加 清晰 。 如 图 7-10 所 示 。 

可 以 根据 图 中 的 指示 找到 对 应 的 接口 ， 当 然 默认 情况 下 只 有 这 些 接口 ， 如 果 我 们 希望 
添加 某 个 类 型 的 接口 还 可 以 务 下 相应 的 面板 自行 安装 新 接口 。 我 们 用 到 最 多 的 是 
CONSOLE 口 〈 控 制 台 ) 和 Slot5，Slot6 (RJ45 网 线 接口 ) 。 

安装 PIX 和 安装 普通 的 路 由 器 和 交换 机 一 样 ， 用 螺丝 将 设备 固定 在 机 柜上 即 可 ， 同 时 
注意 散热 和 UPS 不 间断 电源 的 供应 。 

一 台新 的 PIX 防火 墙 不 经 过 任何 配置 是 无 法 投入 使 用 的 。 我 们 需要 用 CONSOLE 线 连 
接 设 备 的 CONSOLE 接口 并 根据 实际 应 用 环境 进行 设置 ， 登 录 PIX 的 管理 界面 很 简单 ， 将 
CONSOLE 线 连接 控制 台 接口 即 可 。 如 图 7-11 所 示 。 


图 7-10 放大 后 的 防火 墙 背面 图 7-11 防火 墙 控制 接口 
在 配置 PIX 防火 墙 之 前 ， 首 先 了 解 一 下 防火 墙 的 物理 特性 。 防 火 墙 通常 具有 至 少 3 个 
接口 ， 但 许多 早期 的 防火 墙 只 具有 2 个 接口 ， 当 使 用 具有 3 个 接口 的 防火 墙 时 ， 就 至 少 产 
生 了 三 个 网 络 ， 三 个 网 络 的 基本 描述 如 下 。 
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(1) 内 部 区 域 (内 网 ) ， 内 部 区 域 通常 就 是 指 企业 内 部 网 络 或 者 是 企业 内 部 网 络 的 一 
部 分 。 它 是 互连网 络 的 信任 区 域 ， 即 受到 了 防火 墙 的 保护 。 

(2) 外 部 区 域 〈 外 网 ) ， 外 部 区 域 通常 指 Intermet 或 者 非 企业 内 部 网 络 。 它 是 互连网 
络 中 不 被 信任 的 区 域 ， 当 外 部 区 域 想 要 访问 内 部 区 域 的 主机 和 服务 ， 通 过 防火 墙 ， 就 可 以 
实现 有 限制 的 访问 。 

(3) 隔离 区 (DMZ) ， 隔 离 区 是 一 个 隔离 的 网 络 或 几 个 网 络 。 位 于 隔离 区 中 的 主机 
或 服务 器 被 称 为 堡垒 主 机 。 一 般 在 隔离 区 内 可 以 放置 Web 服务 器 、Mail 服务 器 等 。 隔 离 区 
对 于 外 部 用 户 通常 是 可 以 访问 的 ， 这 种 方式 让 外 部 用 户 可 以 访问 企业 的 公开 信息 ， 但 却 不 
允许 他 们 访问 企业 内 部 网 络 。 


提示 : DMZ 是 英文 demilitarized zone 的 缩写 ， 中 文 名 称 为 “隔离 区 ”， 也 称 “ 非 军事 
化 区 ”。 早 期 的 防火 墙 功能 很 有 限 ， 只 有 两 个 接口 ， 因 此 这 类 防火 墙 是 没有 隔离 
区 的 。 


了 解 了 PIX 的 区 域 划分 后 我 们 还 需 对 防火 墙 的 管理 访问 模式 有 所 区 分 。 实 际 上 PIX 防 
火 墙 和 CISCO 以 往 的 路 由 交换 设备 一 样 有 四 个 管理 访问 模式 。 依 次 如 下 。 

(1) 非特 权 模式 。PIX 防火 墙 开 机 自 检 后 ， 就 是 处 于 这 种 模式 。 系 统 显 示 pixfirewall> 
提示 符 。 

(2) 特权 模式 。 在 非特 权 模式 下 输入 enable 进入 特权 模式 ， 可 以 改变 当前 配置 。 显 示 
pixfirewall# 提 示 符 。 

(3) 配置 模式 。 在 特权 模式 下 输入 configure terminal 进入 此 模式 ， 绝 大 部 分 的 系统 配 
置 都 在 这 里 进行 。 显 示 pixfirewall(config)# 提 示 符 。 

(4) 监视 模式 。PIX 防火 墙 在 开机 或 重启 过 程 中 ， 按 住 Escape 键 或 发 送 一 个 Break 
字符 ， 进 入 监视 模式 。 这 里 可 以 更 新 操作 系统 映像 和 口令 恢复 。 显 示 monitor> 提 示 符 。 

这 四 个 管理 访问 模式 我 们 最 常用 的 还 是 特权 模式 和 配置 模式 ，95% 以 上 的 操作 命令 都 
是 在 这 两 个 模式 下 完成 的 ， 而 监视 模式 主要 用 于 恢复 PIX 默认 密码 等 调试 工作 ， 非 特权 模 
式 则 只 能 查看 PIX 设备 运行 状况 ， 不 能 修改 任何 设置 。 

2. 防火 墙 的 基本 配置 原则 

默认 情况 下 ， 所 有 的 防火 墙 都 是 按 以 下 两 种 情况 配置 的 。 

(1) 拒绝 所 有 的 流量 ， 这 需要 在 你 的 网 络 中 特殊 指定 能 够 进入 和 出 去 的 流量 的 一 
些 类 型 。 

(2) 允许 所 有 的 流量 ， 这 种 情况 需要 你 特殊 指定 要 拒绝 的 流量 的 类 型 。 

通常 情况 下 ， 大 多 数 防火 墙 默 认 都 是 拒绝 所 有 的 流量 作为 安全 选项 。 一 旦 安装 防火 墙 
后 ， 需 要 打开 一 些 必要 的 端口 来 使 防火 墙 内 的 用 户 在 通过 验证 之 后 可 以 访问 系统 。 换 句 话 
说 ， 如 果 想 让 员工 们 能 够 发 送 和 接收 E-mail， 必 须 在 防火 墙 上 设置 相应 的 规则 或 开启 允许 
POP3 和 SMTP 的 进程 。 

在 防火 墙 的 配置 中 ， 首 先 要 遵循 的 原则 就 是 安全 实用 ， 从 这 个 角度 考虑 ， 在 防火 墙 的 
配置 过 程 中 需 坚 持 以 下 三 个 基本 原则 。 

(1) 简单 实用 : 对 防火 墙 环 境 设计 来 讲 ， 首 要 的 就 是 越 简单 越 好 。 其 实 这 也 是 任何 事 
物 的 基本 原则 。 越 简单 的 实现 方式 ， 越 容易 理解 和 使 用 。 而 且 是 设计 越 简 单 ， 越 不 容易 出 
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错 ， 防 火 墙 的 安全 功能 越 容易 得 到 保证 ， 管 理 也 越 可 靠 和 简便 。 

每 种 产品 在 开发 前 都 会 有 其 主要 功能 定位 ， 比 如 防火 墙 产品 的 初衷 就 是 实现 网 络 之 间 
的 安全 控制 ， 入 侵 检 测 产品 主要 针对 网 络 非法 行为 进行 监控 。 但 是 随 着 技术 的 成 熟 和 发 展 
这 些 产品 在 原来 的 主要 功能 之 外 或 多 或 少 地 增加 了 一 些 增值 功能 ， 比 如 在 防火 墙 上 增加 了 
查 杀 病毒 、 入 侵 检测 等 功能 ， 在 入 侵 检测 上 增加 了 病毒 查 杀 功能 。 但 是 这 些 增值 功能 并 不 
是 所 有 应 用 环境 都 需要 ， 在 配置 时 我 们 也 可 针对 具体 应 用 环境 进行 配置 ， 不 必要 对 每 一 功 
能 都 详细 配置 ， 这 样 一 则 会 大 大 增强 配置 难度 ， 同 时 还 可 能 因 各 方面 配置 不 协调 ， 引 起 新 
的 安全 漏洞 ， 得 不 偿 失 。 

(2) 全 面 深 入 : 单一 的 防御 措施 是 难以 保障 系统 的 安全 的 ， 只 有 采用 全 面 的 、 多 层次 
的 深层 防御 战略 体系 才能 实现 系统 的 真正 安全 。 在 防火 墙 配置 中 ， 不 要 停留 在 几 个 表面 的 
防火 墙 语句 上 ， 而 应 系统 地 看 待 整个 网 络 的 安全 防护 体系 , 尽量 使 各 方面 的 配置 相互 加 强 ， 
从 深层 次 上 防护 整个 系统 。 这 方面 可 以 体现 在 两 个 方面 : 一 方面 体现 在 防火 墙 系统 的 部 署 
上 ， 多 层次 的 防火 墙 部 署 体 系 ， 即 采用 集 互 联网 边界 防火 墙 、 部 门 边界 防火 墙 和 主机 防火 
墙 于 一 体 的 层次 防御 ， 另 一 方面 将 入 侵 检测 、 网 络 加 密 、 病 毒 查 杀 等 多 种 安全 措施 结合 
一 起 的 多 层 安 全 体系 。 

(3) 内 外 兼顾 : 防火 墙 的 一 个 特点 是 防 外 不 防 内 ， 其 实在 现实 的 网 络 环境 中 ，80% 以 
上 的 威胁 都 来 自 内 部 ， 所 以 我 们 要 树立 防 内 的 观念 ， 从 根本 上 改变 过 去 那 种 防 外 不 防 内 的 
传统 观念 。 对 内 部 威胁 可 以 采取 其 他 安全 措施 ， 比 如 入 侵 检测 、 主 机 防护 、 漏 洞 扫描 、 病 
毒 查 杀 。 这 方面 体现 在 防火 墙 配置 方面 就 是 要 引入 全 面 防护 的 观念 ， 最 好 能 部 署 与 上 述 内 
部 防护 手段 一 起 联动 的 机 制 。 

3. 防火 墙 的 初始 配置 

在 使 用 之 前 ， 防 火 墙 需要 经 过 基本 的 初始 配置 ， 才 能 使 防火 墙 发 挥 作用 ， 下 面 我 们 对 
这 一 过 程 做 一 个 简单 的 介绍 。 

防火 墙 的 初始 配置 也 是 通过 控制 端口 (Console) 与 PC (通常 是 便于 移动 的 笔记 本 电 
脑 ) 的 串口 连接 ， 再 通过 Windows 系统 自 带 的 超级 终端 (HyperTerminal) 程序 进行 选项 配 
置 。 防 火 墙 的 初始 配置 物理 连接 参见 图 7-11 所 示 。 

防火 墙 除了 以 上 所 说 的 通过 控制 端口 《Console) 进行 初始 配置 外 ， 也 可 以 通过 telnet 
和 Tffp 配置 方式 进行 高 级 配置 ， 但 Telnet 配置 方式 都 是 在 命令 方式 中 配置 ， 难 度 较 大 ， 而 
Tffp 方式 需要 专用 的 Tffp 服务 器 软件 ， 但 配置 界面 比较 友好 。 

防火 墙 的 具体 配置 步骤 如 下 。 

(1) 将 防火 墙 的 Console 端口 用 一 条 防火 墙 自 带 的 串 行 电缆 连接 到 笔记 本 电脑 的 一 个 
空余 串口 上 ， 如 图 7-11 所 示 。 

(2) 打开 PIX 防火 墙 电源 ， 让 系统 加 电 初 始 化 ， 然 后 开启 与 防火 墙 连接 的 主机 。 

(3) 运行 计算 机 Windows 系统 中 的 超级 终端 (HyperTerminal) 程序 (通常 在 “附件 ” 
程序 组 中 ) 。 

(4) 当 PIX 防火 墙 进入 系统 后 即 显示 pixfirewall> 的 提示 符 ， 这 就 证 明 防 火 墙 已 启动 
成 功 ， 所 进入 的 是 防火 墙 用 户 模式 。 可 以 进行 进一步 的 配置 了 。 

(5) 输入 命令 : enable， 进 入 特权 用 户 模式 ， 此 时 系统 提示 为 pixfirewall#。 

(6) 输入 命令 : configure terminal， 进 入 全 局 配置 模式 ， 对 系统 进行 初始 化 设置 。 
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@ 首先 配置 防火 墙 的 网 卡 参数 (以 只 有 1 个 LAN 和 1 个 WAN 接口 的 防火 墙 配置 
为 例 ) 。 

命令 为 : Interface ethemet0 auto 

#0 网 卡 系统 自动 分 配 为 WAN 网 卡 ，auto 选项 为 系统 自 适 应 网 卡 类 型 

@ 配置 防火 墙 内 、 外 部 网 卡 的 卫 地 址 

命令 格式 为 : IP address inside ip_address netmask 

# Inside 代表 内 部 网 卡 

命令 格式 为 : IP address outside ip_address netmask 

# outside 代表 外 部 网 卡 

@ 指定 外 部 网 卡 的 下 地址 范围 : 

命令 格式 为 : global 1 ip address-ip address 

@ 指定 要 进行 转换 的 内 部 地 址 

命令 格式 为 : nat 1 ip_address netmask 

@ 配置 某 些 控制 选项 : 

命令 格式 为 :conduit global ip port[-port] protocol foreign ip [netmask] 

其 中 ，global_ip: 指 的 是 要 控制 的 地 址 ; port: 指 的 是 所 作用 的 端口 ，0 代表 所 有 端口 ; 
protocol: 指 的 是 连接 协议 ， 比 如 : TCP、UDP 等 ，foreign_ip: 表示 可 访问 的 global ip 外 
部 他 地 址 ，netmask: 为 可 选项 ， 代 表 要 控制 的 子 网 掩 码 。 

(7) 配置 保存 
命令 格式 为 : wr mem 
(8) 退出 当前 模式 

此 命令 为 exit， 可 以 任何 用 户 模式 下 执行 ， 执 行 的 方法 也 相当 简单 ， 只 输入 命令 本 身 
即 可 。 它 与 Quit 命令 一 样 。 下 面 三 条 语句 表示 了 用 户 从 配置 模式 退 到 特权 模式 ， 再 退 到 普 
通 模式 下 的 操作 步骤 。 


pixfirewall(config)# exit 


pixfirewall# exit 
pixfirewall> 
(9) 查看 当前 用 户 模式 下 的 所 有 可 用 命令 : show, 在 相应 用 户 模式 下 输入 这 个 命令 后 ， 
即 显示 出 当前 所 有 可 用 的 命令 及 简单 功能 描述 。 
(10) 查看 端口 状态 : show interface， 这 个 命令 需 在 特权 用 户 模式 下 执行 ， 执 行 后 即 
显示 出 防火 墙 所 有 接口 配置 情况 。 
(11) 查看 静态 地 址 映射 : show static， 这 个 命令 也 须 在 特权 用 户 模式 下 执行 ， 执 行 后 
显示 防火 墙 的 当前 静态 地 址 映射 情况 。 


7.3 VPN 技术 


实现 跨 区 域 局 域 网 之 间 互 相通 信 的 最 有 效 方式 就 是 使 用 VPN， 具 有 的 最 大 特点 是 在 不 
需要 增加 通信 线路 的 情况 下 实现 安全 传输 。 
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7.3.1 VPN 基础 


1. 远程 访问 
远程 访问 是 指 通 过 透明 的 方式 将 位 于 本 地 网 络 以 外 (远程 网 络 ) 位 置 上 的 特定 计算 机 
连接 到 本 地 网 络 中 的 一 系列 相关 技术 。 当 启用 远程 访问 时 ， 远 程 客户 可 以 通过 远程 访问 技 
术 像 直接 连接 到 本 地 网 络 一 样 来 使 用 本 地 网 络 中 的 资源 。 在 Windows 服务 器 操作 系统 中 均 
包含 了 远程 访问 服务 ， 它 是 作为 路 由 和 远程 访问 服务 中 的 一 个 组 件 ， 远 程 访问 服务 支持 远 
程 访问 客户 端 使 用 拨号 网 络 连接 和 虚拟 专用 网 络 连接 这 两 种 方式 的 远程 访问 。 
(1) 拨号 网 络 连 接 远 程 访 问 方 式 : 通过 拨号 远程 访问 方式 ， 远 程 访 问 客户 端 可 以 利 
用 电信 基础 设施 〈 通 常情 况 下 为 模拟 电话 线路 ) 来 创建 通 向 远程 访问 服务 器 的 临时 物理 
电路 或 虚拟 电路 。 一 旦 这 种 物理 电路 或 虚拟 电路 被 创建 ， 其 余 连 接 参 数 将 通过 协商 方式 
加 以 确定 。 
(2) 虚拟 专用 网 络 (VPN) 连接 远程 访问 方式 ， 通 过 虚拟 专用 网 络 远程 访问 方式 ， 
VPN 客户 端 可 以 通过 人 P 网 络 (例如 Intemet) 与 充当 VPN 服务 器 的 远程 访问 服务 器 建立 虚 
拟 点 对 点 连接 。 一 旦 这 种 虚拟 点 对 点 连接 被 创建 ,其余 连接 参数 将 通过 协商 方式 加 以 确定 。 
由 于 人 P 网 络 的 流行 , 拨号 网 络 连 接 远 程 访问 方式 已 经 基本 不 再 使 用 。 在 此 仅 对 虚拟 专 
用 网 络 (VPN) 连接 远程 访问 方式 进行 阐述 。 对 于 一 个 完整 的 VPN 远程 访问 连接 ， 它 由 以 
下 元 素 组 成 。 
(1) 远程 访问 VPN 客户 端 
VPN 客户 端 既 可 以 是 独立 的 计算 机 ， 也 可 以 是 建立 站 点 到 站 点 VPN 连接 的 VPN 服务 
器 。 而 根据 VPN 客户 端 类 型 的 不 同 ，VPN 分 为 以 下 两 种 连接 类 型 。 
@ 远程 访问 VPN: 由 一 台独 立 的 计算 机 作为 VPN 客户 端 向 VPN 服务 器 发 起 VPN 连 
接 , 从 而 此 VPN 客户 端 计 算 机 可 以 访问 VPN 服务 器 所 连接 的 内 部 网 络 中 的 资源 。Windows 
XP、Windows 2000、Windows NT 4.0、Windows ME 和 Windows 98 VPN 客户 端 均 可 与 
Windows 的 VPN 服务 器 或 运行 其 他 大 多 数 VPN 服务 器 的 远程 访问 服务 器 建立 VPN 连接 。 
这 种 类 型 的 VPN 又 称 为 客户 端 到 服务 器 VPN。 
@ 站 点 到 站 点 VPN: 在 连接 到 不 同 内 部 网 络 的 两 台 VPN 服务 器 之 间 进 行 VPN 连接 ， 
当 VPN 连接 成 功 建立 后 , 它们 所 连接 的 内 部 网 络 中 均 可 以 相互 进行 访问 , 就 像 直 接 通 过 物 
理 链 路 连接 到 一 起 。VPN 服务 器 会 将 通过 VPN 连接 的 数据 进行 加 密 和 封装 ， 但 是 本 地 子 
网 中 的 客户 和 VPN 服务 器 之 间 的 通信 并 不 会 进行 加 密 。Windows 的 VPN 服务 器 均 可 以 和 
其 他 VPN 服务 器 创建 站 点 到 站 点 的 VPN 连接 。 这 种 类 型 的 VPN 又 称 为 网 关 VPN 或 路 由 
器 到 路 由 器 VPN。 
(2) 远程 访问 VPN 服务 器 
基于 Windows 服务 器 操作 系统 的 远程 访问 服务 器 能 够 接受 基于 PPTP 或 L2TP/IPSec 
的 远程 访问 VPN 连接 ,或 者 基于 PPTP、L2TP/IPSec 或 IPSec 隧道 模式 的 站 点 到 站 点 VPN 
连接 。 
远程 访问 VPN 客户 端 必须 能 够 通过 IP 网 络 访问 到 远程 访问 VPN 服务 器 ， 如 果 VPN 
服务 器 位 于 某 个 内 部 网 络 而 VPN 客户 端 位 于 Intemet 之 上 , 那么 必须 在 VPN 服务 器 连接 到 
Intemnet 的 网 关上 为 VPN 服务 器 做 端口 映射 。 
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(3) VPN 协议 

Windows 远程 访问 服务 器 与 客户 端 支持 两 种 远程 访问 VPN 协议 。 

@ 点 对 点 隧道 协议 (PPTP) 

e@ 第 二 层 隧 道 协议 (L2TP) 

而 对 于 站 点 到 站 点 VPN 连接 ， 除 了 使 用 上 述 协议 外 ， 你 还 可 以 使 用 IPSec 隧道 模式 。 

1) 点 对 点 隧道 协议 (PPTP) 

点 对 点 隧道 协议 (PPTP) 是 微软 基于 PPP 协议 开发 的 隧道 协议 ， 在 RFC 2637 中 进行 
定义 ， 在 Windows 系统 中 广泛 使 用 。PPTP 首先 在 Windows NT 4.0 中 提供 支持 ， 并 且 随 
TCP/P 协议 一 起 自动 进行 安装 。PPTP 是 点 对 点 协议 (PPP) 的 一 种 扩展 ， 它 采用 了 PPP 
所 提供 的 身份 验证 、 压 缩 与 加 密 机 制 ， 并 且 通 过 Microsoft 点 对 点 加 密 (MPPE) 技术 来 对 
数据 包 进 行 加 密 、 封 装 和 隧道 传输 。 

PPTP 具有 以 下 特性 : 

G@ PPTP 帧 通过 通用 路 由 封装 〈Generic Routing Encapsulation，GRE， 协 议 ID 47) 报 
头 和 下 报头 (TCP 1723) 进行 封装 ， 在 卫 报头 中 提供 了 与 VPN 客户 端 和 VPN 服务 器 相 
对 应 的 源 他 地 址 和 目标 他 地 址 ; 

@ 使 用 Microsoft 点 对 点 加 密 (MPPE) 技术 来 对 多 种 协议 的 数据 包 进 行 加 密 、 封 装 和 
在 全 网 络 上 进行 隧道 传输 ; 

@ PPTP 隧道 连接 协商 身份 验证 、 压 缩 与 加 密 ; 

@ PPTP 支持 VPN 客户 端 亿 地址 的 动态 分 配 ; 

@@ MPPE 使 用 RSA/RC4 算法 和 40 位 、56 位 或 128 位 的 密 钥 进行 加 密 ; 

@ MPPE 将 通过 由 MS-CHAP、MS-CHAP v2 或 EAP-TLS 身份 验证 过 程 所 生成 的 加 密 
密 钥 对 PPP 帧 进行 加 密 ， 因 此 为 对 PPP 帧 中 所 包含 的 有 效 数 据 进行 加 密 ， 虚 拟 专用 网 络 客 
户 端 必须 使 用 MS-CHAP、MS-CHAP v2 或 EAP-TLS 身份 验证 协议 ; PPTP 将 利用 底层 PPP 
加 密 功 能 并 直接 对 原先 经 过 加 密 的 PPP 帧 进行 封装 ; 

@ 初始 加 密 密 钥 在 用 户 身 份 验证 时 产生 并 且 定 期 刷新 ; 

在 PPTP 数据 包 中 ， 只 有 数据 负载 才 进行 了 加 密 。 

如 果 使 用 PPTP 协议 的 VPN 客户 端 部 署 在 NAT 网 关 之 后 , 那么 要 求 NAT 网 关 具 有 理 
解 PPTP 协议 的 NAT 编辑 器 , 否则 VPN 客户 将 不 能 创建 VPN 连接 。 目 前 的 绝 大 部 分 NAT 
网 关中 都 具有 PPTP NAT 编辑 器 ， 均 可 以 很 好 地 支持 PPTP 协议 。 

2) 第 二 层 隧 道 协议 (L2TP) 

第 二 层 隧 道 协 议 〈L2TP) 是 微软 PPTP 隧道 协议 和 CISCO 第 二 层 转发 协议 (L2F) 的 
结合 体 , 在 RFC 2661 中 进行 定义 (最 新 的 版 本 是 L2TPv3, 在 RFC 3931 中 定义 ) 。 与 PPTP 
利用 MPPE 进行 数据 包 加 密 不 同 ，L2TP 依靠 ntemet 协议 安全 性 (IPSec) 技术 提供 加 密 服 
务 .L2TP 与 IPSec 的 结合 产物 称 为 L2TP/IPSec, VPN 客户 端 与 VPN 服务 器 都 必须 支持 L2TP 
和 IPSec 才能 使 用 L2TP/IPSec。L2TP 将 随同 路 由 与 远程 访问 服务 一 起 自动 进行 安装 。 

在 IPSec 数据 包 基 础 上 所 进行 的 L2TP 封装 由 两 个 层次 组 成 : 

L2TP 封装 : PPP 帧 (IP 或 IPX 数据 包 ) 将 通过 L2TP 报头 和 UDP 报头 进行 封装 。 

IPSec 封装 : 上 述 封 装 后 所 得 到 的 L2TP 报 文 将 通过 IPSec 封装 安全 性 有 效 载荷 CESP) 
报头 、 用 以 提供 消息 完整 性 与 身份 验证 的 IPSec 身份 验证 报 尾 以 及 下 报头 再 次 进行 封装 。 
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卫 报头 中 将 提供 与 VPN 客户 端 和 VPN 服务 器 相对 应 的 源 卫 地址 和 目标 卫 地 址 。IPSec 
加 密 机 制 将 通过 由 IPSec 身份 验证 过 程 所 生成 的 加 密 密 钥 对 L2TP 报 文 进行 加 密 。 

L2TP 具有 以 下 特性 : 

@ L2TP 隧道 数据 可 以 在 任何 支持 点 对 点 传输 的 网 络 中 进行 传输 ， 例 如 瑟 、 帧 中 继 、 
ATM 网 络 等 等 ; 

@ L2TP 使 用 UDP 协议 来 进行 隧道 管理 ; 

@ L2TP 基于 UDP 协议 发 送 封装 的 PPP 数据 包 ; 

@ 负载 数据 可 以 被 加 密 和 压缩 ; 

@ 使 用 IPSec 封装 安全 性 有 效 载 荷 (ESP) 进行 加 密 ，IPSec ESP 在 RFC 3193 中 进行 
定义 ; 

@ 虽然 L2TP/IPSec 提供 了 用 户 验证 机 制 ， 但 是 同样 要 求 计算 机 进行 验证 。 计 算 机 验 
证 是 相互 的 ， 每 一 端的 计算 机 都 必须 向 对 方 进行 验证 ; 

@ 对 于 计算 机 验证 , 要 求 计算 机 证 书 。 VPN 客户 端 和 VPN 服务 器 (远程 访问 VPN) ， 
或 两 端的 VPN 服务 器 (站 点 到 站 点 VPN) 都 必须 具有 有 效 的 证 书 。 你 可 以 配置 使 用 预 共 
享 的 L2TP 密 钥 ， 这 样 就 无 需 计 算 机 证 书 ， 但 是 由 于 所 有 VPN 客户 都 必须 配置 相同 的 预 共 
享 密 钥 ， 这 样 带 来 的 后 果 是 极 大 地 降低 了 L2TP 的 安全 性 。 

@ 每 一 端 都 必须 能 够 验证 另 一 端 提供 的 证 书 是 否 有 效 , 如 果 计 算 机 证 书 是 由 不 同 的 证 
书 权威 颁发 ， 那 么 会 出 现 问 题 。 

和 PPTP 协议 不 一 样 ,如 果 基 于 L2TP/IPSec 协议 的 VPN 客户 端 部 署 在 NAT 网 关 之 后 ， 
只 有 VPN 服务 器 和 VPN 客户 端 支持 IPSecNAT 穿越 (NAT-T) 时 ，VPN 客户 端 才能 和 VPN 
服务 器 成 功 创建 VPN 连接 。NAT-T 在 RFC 3947 中 进行 定义 ， 它 描述 了 IPSec 协议 如 何 穿 
越 NAT 服务 器 。 和 L2TP/IPSec 使 用 UDP 端口 300、1701 不 同 ，NAT-T 使 用 UDP 4500 端 
口 。Windows Server 2003、Microsoft L2TP/IPSec VPN 客户 端 软件 和 L2TP/IPSec NAT-T 更 
新 后 的 Windows XP 和 Windows 2000 支持 NAT-T。 

但 是 ， 微 软 不 推荐 在 NAT 网 关 后 的 Windows Server 2003 上 使 用 IPSec NAT-T， 并 且 
修改 了 Windows XP SP2 中 的 IPSec 通信 行为 ， 使 其 默认 情况 下 不 再 支持 NAT 网 关 后 的 
IPSec NAT-T。 

(4) IPSec 隧道 模式 

对 于 站 点 到 站 点 VPN 连接 ， 除 了 上 述 的 PPTP 和 L2TP/IPSec 外 ， 你 还 可 以 使 用 IPSec 
隧道 模式 。IPSec 隧道 模式 单独 使 用 IPSec 来 创建 一 个 加 密 的 隧道 ， 通 常用 于 和 不 支持 
L2TP/IPSec 或 PPTP 协议 的 非 Windows VPN 服务 器 之 间 创 建 加 密 通信 。 和 L2TP、PPTP 
不 同 ，IPSec 隧道 模式 不 需要 验证 用 户 账户 ， 它 具有 以 下 特性 : 

@ PP 数据 包 通 过 IPSec 进行 加 密 ， 并 在 IP 网 络 上 进行 隧道 传输 ; 

@ IPSec 隧道 模式 只 能 用 于 站 点 到 站 点 的 VPN 类型; 

@ IPSec 隧道 模式 需要 额外 的 IPSec 安全 策略 配置 ; 

2. 选择 远程 访问 VPN 协议 

PPTP 和 IL2TP/PSec 的 区 别 主 要 有 : 

@ PPTP 使 用 MPPE 进行 加 密 ，L2TP/IPSec 和 IPSec 隧道 模式 使 用 IPSec ESP 进行 
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@ PPTP 加 密 在 PPP 身份 验证 通过 后 处 理 连接 时 开始 ， 因 此 ， 身 份 验证 过 程 没 有 被 
MPPE 加 密 。L2TP/IPSec 会 先进 行 安全 协商 再 进行 身份 验证 ， 并 对 PPP 身份 验证 数据 包 进 
行 加 密 ， 因 此 L2TP/IPSec 比 PPTP 提供 了 更 高 的 安全 性 。 

@) PPTP 使 用 MMPE 和 RC4， 而 L2TP/IPSec 使 用 DES 或 3DES。 

@ PPTP 和 L2TP/IPSec 均 要 求 用 户 使 用 基于 PPP 的 身份 验证 协议 进行 身份 验证 。 

@ L2TP/IPSec 还 要 求 使 用 计算 机 证 书 进行 计算 机 验证 。 因 此 ，L2TP/IPSec 提供 了 更 
强壮 的 身份 验证 过 程 。 但 是 ， 带 来 的 不 便 之 处 是 L2TP/IPSec 需要 公共 密 钥 基础 服务 (PKI) 
或 预 共享 的 连接 密 钥 ， 而 PPTP 则 无 需 PKI。 

@ IPSec ESP 要 求 基于 数据 包 的 数据 源 验证 和 数据 完整 性 验证 ,另外 , IPSec ESP 提供 
了 中 继 保 护 ， 这 防止 了 数据 包 的 重 现 攻击 ; 而 PPTP 没有 提供 这 些 保 护 。 

@ IPSecESP 和 PPTP (通过 使 用 MPPE) 提供 了 基于 每 个 数据 包 的 加 密 。 

你 可 以 将 基于 PPTP 的 VPN 服务 器 部 署 在 NAT 网 关 后 ， 但 是 不 建议 将 基于 
L2TP/IPSec、IPSec 的 VPN 服务 器 部 署 在 NAT 网 关 后 。 

@ L2TP/IPSec 比 PPTP 更 耗费 CPU 性 能 。 

在 选择 VPN 协议 时 ， 你 应 考虑 以 下 几 点 : 

@ 是 否 存在 公共 密 钥 基础 服务 (PKI) ， 如 果 不 存在 则 选择 PPTP; 强烈 建议 不 要 在 商 
用 网 络 中 通过 预 共 享 的 连接 密 钥 来 使 用 L2TP， 这 样 会 极 大 地 降低 L2TP 的 安全 性 ; 

@ 如 果 要 求 最 高 的 安全 级 别 ， 选 择 L2TP/IPSec; 

@ 只 有 在 特别 需要 时 才 使 用 IPSec 隧道 模式 ; 

@ 如 果 企 业 安全 策略 要 求 DES 或 3DES， 则 使 用 L2TP/IPSec:; 

@ 如 果 使 用 IPSec 导致 CPU 负荷 过 重 ， 使 用 PPTP; 

@ 如 果 VPN 服务 器 部 署 在 NAT 网 关 后 ， 选 择 PPTP; 

@ 部 署 PPTP 比 部 署 IPSec 更 为 简单 。 

对 于 VPN 客户 的 身份 验证 、 访 问 授权 和 记 账 ， 你 可 以 选择 两 种 不 同 的 方式 : Windows 
或 RADIUS。 你 可 以 为 这 三 种 功能 选择 一 种 方式 ， 也 可 以 选择 一 种 方式 用 于 身份 验证 和 授 
权 ， 而 另 一 种 用 于 记 账 。 

当 使 用 Windows 验证 时 ， 如 果 VPN 服务 器 是 独立 服务 器 ， 则 使 用 本 地 账户 (SAM) 
来 验证 VPN 客户 ;如 果 VPN 服务 器 是 域 成 员 服 务 器 ， 则 使 用 活动 目录 数据 库 来 验证 VPN 
客户 。 如 果 使 用 RADIUS 进行 身份 验证 ， 那 么 就 算 VPN 服务 器 是 独立 服务 器 ， 也 可 以 通 
过 RADIUS 使 用 活动 目录 数据 库 来 进行 验证 。 在 Windows 服务 器 中 同样 提供 了 RADIUS 
服务 器 组 件 ， 不 过 被 称 为 Intemet 验证 服务 器 (IAS) 。 

PPTP 和 L2TP/IPSec 均 要 求 用 户 进行 身份 验证 ， 并 且 对 于 L2TP/IPSec， 你 必须 配置 用 
户 身份 验证 和 计算 机 身份 验证 。Windows VPN 服务 器 支持 的 身份 验证 方式 有 : 

@ 可 扩展 身份 验证 协议 C(EAP) ; 

@ Microsoft 质询 式 握手 身份 验证 协议 (MS-CHAP) ; 

@) MS-CHAP 第 2 版 (MS-CHAP v2) ; 

@ 质询 式 握手 身份 验证 协议 (CHAP) ; 

@ Shiva 式 口令 身份 验证 协议 (SPAP) ; 

@ 可 扩展 身份 验证 协议 (EAP, 包含 EAP-MD5、EAP-TLS、EAP/MS-CHAPv2 等 等 ) 。 


上 
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它们 之 间 的 详细 区 别 请 参考 Windows 的 帮助 ， 常 用 的 身份 验证 方式 是 MS-CHAP、 
MS-CHAP v2 和 EAP-TLS。 

如 果 此 RRAS 服务 器 属于 活动 目录 , 你 需要 提升 域 功能 级 为 Windows 2000 Native 或 者 
Windows Server 2003 后 ， 才 能 使 用 通过 远程 访问 策略 控制 访问 选项 。 并 且 此 RRAS 服务 器 
的 计算 机 账户 必须 加 入 到 域 本 地 安全 组 RAS and IAS Servers 组 中 , 否则 该 RRAS 服务 器 不 
能 读 取 域 用 户 的 拨 入 权限 设置 。 在 启用 路 由 和 远程 访问 服务 时 ,会 自动 加 入 到 RAS and IAS 
Servers 组 中 ， 如 果 没有 自动 加 入 ， 你 可 以 手动 进行 添加 或 者 在 路 由 和 远程 访问 服务 器 上 运 
行 Netsh ras add registeredserver 命令 。 

当 VPN 服务 器 允许 VPN 客户 拨 入 VPN 时 ,将 会 为 VPN 客户 分 配 一 个 人 P 地 址 。 你 可 
以 配置 VPN 服务 器 通过 内 部 网 络 中 的 DHCP 服务 器 来 为 VPN 客户 分 配 一 个 他 地址 , 也 可 
以 手动 配置 一 个 静态 IP 地 址 范围 来 为 VPN 客户 进行 分 配 。 但 是 ， 如 果 配 置 使 用 和 内 部 网 
络 不 一 致 的 子 网 来 用 于 VPN 客户 的 地 址 分 配 时 ， 你 必须 添加 内 部 网 络 通过 VPN 服务 器 到 
达 VPN 客户 的 路 由 。 

当 VPN 客户 创建 VPN 拨号 连接 时 ， 默 认 会 启用 远程 网 络 上 的 默认 网 关 , 即 把 VPN 连 
接 作为 自己 的 默认 网 关 。 这 将 导致 VPN 客户 不 能 访问 除 自己 本 地 子 网 外 的 其 他 本 地 网 络 ， 
也 不 能 通过 本 地 网 络 连接 到 Internet。 


7.3.2 ”部署 VPN 


远程 访问 VPN 是 一 台独 立 的 VPN 客户 计算 机 向 VPN 服务 器 发 起 的 VPN 连接 ， 
Windows 的 远程 访问 VPN 服务 是 作为 路 由 和 远程 访问 (RRAS) 服 务 的 一 个 组 件 来 提供 ， 
它 支 持 PPTP 或 者 L2TP/IPSec 协议 的 VPN 连接 。 在 Windows Server 2003 中 部 署 远程 访 
问 VPN 服务 ， 从 而 支持 VPN 客户 端 使 用 PPTP 和 L2TP/IPSec 协议 进行 远程 访问 VPN 
连接 。 

其 实 VPN 部 署 比较 简单 ， 你 只 需要 考虑 以 下 几 点 。 

@ 决定 身份 验证 方式 (Windows 还 是 RADIUS) 。 在 此 将 使 用 Windows 来 进行 身份 
验证 。 

@ 身份 验证 方法 。 在 此 将 使 用 默认 的 MS-CHAP、MS-CHAP v2 和 EAP-TLS。 

@ 用 户 拨 入 授权 方式 ( 显 式 允 许 访问 还 是 通过 远程 访问 策略 授权 ) 。 在 此 将 显 式 允 许 
用 户 远 程 拨 入 访问 。 

@ VPN 客户 地 址 分 配方 式 〈 使 用 内 部 网 络 中 的 DHCP 服务 或 者 使 用 静态 IP 地 址 范 
围 )。 在 此 试验 中 由 于 内 部 网 络 中 没有 DHCP 服务 ,所 以 将 采用 静态 他 地 址 范围 172.16.0.1~ 
172.16.0.254。 

@ 对 于 L2TP/IPSec, 还 需要 部 署 证 书 服务 。 在 此 试验 中 内 部 网 络 中 已 经 部 署 了 证 书 权 
威 服务 器 。 

试验 环境 如 图 7-12 所 示 ，Internet 上 的 VPN 客户 端 Perth (IP 地 址 为 61.139.0.8) 将 通 
过 Munich (外 部 卫 地 址 为 61.139.0.1, 内 部 IP 地址 为 10.1.1.1) 上 的 VPN 服务 连接 到 内 部 
网 络 (10.1.1.0/24) 中 。Milan 是 内 部 网 络 上 的 Web 服务 器 和 证 书 服务 器 , IP 地 址 为 10.1.1.9。 
所 有 计算 机 的 操作 系统 均 为 Windows Server 2003 SP1， 并 且 均 为 独立 服务 器 ， 在 进行 试验 
之 前 已 经 确保 网 络 连接 工作 正常 。 
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试验 步骤 如 下 。 
(1) 在 VPN 服务 器 上 启用 路 由 和 远程 访问 服务 中 的 远程 访问 VPN 服务 ; 
(2) VPN 服务 器 上 显 式 允许 用 户 Administrator 的 远程 拨 入 ; 
(3) 在 VPN 客户 端 上 创建 PPTP 模式 的 VPN 连接 并 进行 测试 。 
1. 启用 路 由 和 VPN 服务 
(1) 在 VPN 服务 器 上 以 管理 员 身份 登录 ， 选 择 “ 开 始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 路 
由 和 远程 访问 ”命令 ， 出 现 “ 路 由 和 远程 访问 ”窗口 ， 如 图 7-13 所 示 。 


(VPN th 


61.139.0.8/24 
Internet 


LAN 
10.1.1.0/24 


(VPN/Firewall) | 10.1.1:1/24 


Milan 
(Web/CA) 
10.1.1,9/24 


图 7-12 试验 环境 示意 图 图 7-13 ”路 由 和 远程 访问 

(2) 在 “路 由 和 远程 访问 ”窗口 中 ， 右 击 4usoft-sales 服务 器 ， 在 菜单 中 选择 “配置 
并 启用 路 由 和 远程 访问 ”命令 ， 出 现 “路 由 和 远程 访问 服务 器 安装 向 导 ” 欢 迎 对 话 框 ， 单 
击 “ 下 一 步 ”按钮 ， 出 现 如 图 7-14 对 话 框 。 

(3) 选择 “ 自 定义 配置 ” 单 选 框 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 出 现 如 图 7-15 所 示 对 
话 框 。 


配置 
| 您 可 以 所 月 下 列 服 部 的 性 辣 组 合 ， 或 者 你 可 以 自 定义 此 服务 器 。 


7-14 ”路 由 和 远程 访问 配置 7-15 ”远程 访问 配置 
(4) 在 “远程 访问 ”配置 窗口 中 ,选择 VPN 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 7-16 
所 示 。 


(5) 单 击 “ 下 一 步 ”按钮 ， 出 现 完成 配置 提示 对 话 框 ， 如 图 7-17 所 示 。 
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ESETETEEEETSB 
正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 


路 由 和 运程 访问 最 务 器 安装 育 导 


自 定义 配置 = 
关闭 此 向 时 后 ,您 可 以 在 路 由 和 远程 访问 控制 台中 配置 选择 的 服务 - Da] 
您 已 成 功 完成 路 由 和 远程 访问 服务 器 安装 向 导 - 


选择 作 想 在 此 服务 器 上 启用 的 服务 
pa 
厂 执导 访 问 名) 
厂 请 求 拓 叶 连接 由 分 支 办 公 室 路 由 使 用 ) 到 ) 
厂 MT 和 芋 可 防火 墙 由 


选择 摘要 
访问 -| 


厂 LM 路 由 总 ) 


加 
证 ， 在 “路 由 和 运程 访问 ”控制 台中 
每 的 服务 。 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


my | mw | 


图 7-16 ” 自 定义 配置 窗口 图 7-17 完成 配置 窗口 
(6) 单 击 “完成 ”按钮 ， 完 成 “路 由 和 远程 访问 ”的 配置 ， 系 统 出 现 提 示 对 话 框 ， 
提示 是 否 现 在 启动 服务 ,选择 “是 ”按钮 ,现在 启动 “路 由 和 远程 访问 ”服务 ， 如 图 7-18 
所 示 。 
(7) 在 “路 由 和 远程 访问 ”窗口 中 右 击 “ 端 口 ”， 在 弹出 菜单 中 选择 “属性 ”， 出 现 
“端口 属性 ” 对 话 框 ， 如 图 7-19 所 示 。 


gz 
文件 四“ 换 作 必 查看 0 灾 助 0 
和 中 | 外 四 |X 加 加 | 四 
| | ROSAIS 厅 二 ) 
恒 忆 务 时 从 志 习 
晶 @ Sm 三 地 ) 此 服务 器 上 配置 了 路 由 和 远程 访问 
至 sp 此 服务 攻 已 经 用 路 白 和 运程 访 问 最 务 综 安 六 向 对 进行 了 了 置 。 
远 各 访问 客 P 删 ) 所 台 村 中 和 拉 一 个 六 目 ， 约 后 - 
曲直 正路 由 过 ea 
全 eb 
静 恋 路 由 请 参阅 路 由 和 运程 访问 帮助 。 
后 中 站 代理 得 
Tm 
AT 基本 防火 擂 
由 感 运 各 访问 第 咯 
由 四 远 可 访问 记录 
如 置 忆 ) 
职 滑 a 
图 7-18 配置 完成 并 启动 的 路 由 和 远程 访问 图 7-19 端口 属性 


(8) 在 “端口 属性 ”对 话 框 中 ， 选 择 端口 后 单 击 “ 配 置 ”按钮 ， 出 现 配置 窗口 ， 如 
图 7-20 所 示 。 

(9) 在 配置 设备 对 话 框 中 修改 最 多 端口 数 为 需要 的 数量 ， 这 里 保持 默认 设置 为 128。 

2. 人 允许 用 户 Administrator 的 远程 拨 入 

(1) 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“ 计 算 机 管理 ”命令 ， 出 现 “ 计 算 机 管理 ” 
窗口 ， 如 图 7-21 所 示 。 
(2) 选择 “计算 机 管理 (本 地 ) ”|“ 系 统 工具 ”|“ 本 地 用 户 和 组 ”|“ 用 户 ”， 双 击 
右边 的 Administrator 用 户 名 ， 出 现 “Administrator 属性 ”对 话 框 ， 并 选择 “ 拨 入 ”选项 卡 ， 
如 图 7-22 所 示 。 
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和 可 EW | + 二 | 下 困 | 叶 呈 | 国 
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和 
恶 FsTE 


es 


由 选择 连接 入 站 和 i 
三 请 求 防 号 路 由 连 捧 ( 羽 出 站) 中) 
此 设备 的 电话 号 码 中) 
您 可 以 为 支持 多 重 靖 口 的 设备 设置 最 多 请 口 歼 限 制 . 
最 多 端口 数 如 。 |:28 过 


| 
li | 


Cee | ww | 


图 7-20 配置 设备 对 话 框 图 7-21 计算 机 管理 窗口 
(3) 在 “远程 访问 权限 〈 拨 入 或 VPN) ”选项 区 域 中 选择 “人 允许 访问 ” 单 选 框 ， 单 
击 “ 确 定 ” 按 钮 ， 这 样 就 完成 允许 Administrator 用 户 拨 入 VPN 了 。 
3. 在 VPN 客户 端 创 建 PPTP 模式 的 VPN 连接 
(1) 在 VPN 客户 端 上 以 管理 员 身 份 登录 ， 选 择 “开始”|“ 设 置 ”|“ 网 络 连接 ”|“ 新 
建 连接 向 导 ” 命 令 ， 出 现 “ 新 建 连接 向 导 ” 窗 口 ， 如 图 7-23 所 示 。 
[aninistrstor Et | 


常规 。 | 隶 民 于 | 也 于 文件 | 环境 | 会 话 | 
远程 控制 |。 终 纲 服 和 配置 文件 执 入 


远程 访 问 权 限 执 入 或 YP) 欢迎 使 用 新 建 连接 向 导 
站 

个 拒绝 访问 呈 ) 

通过 远程 访问 第 控制 访 问 此 向 导 格 帮助 人 

厂 对 证 呼叫 方 人 D 人); FREE * 连接 到 Internet。 
at “ 连接 到 专用 网 络 ,例如 修 的 办 公 网 络 ， 
人 不 回执 已) 

个 由 呼叫 方 设置 羽 路 由 和 远程 访问 服务 ) 全) 

总 是 回 朱 到 0D 

厂 分 也 入 者 苹 地 址 G) r= 

[ 厂 应 用 静 沦 路 由 月) 一 一 一 一 一 一 一 一 一 一 一 一 一 

| 为 此 找 入 连接 定义 要 启用 的 路 由 。 帮 才 路 机 四) 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


< so ww | 
图 7-22 用 户 属性 对 话 框 图 7-23 ”新建 连 接 向 导 欢 迎 窗口 
(2) 在 “新 建 连接 向 导 ” 窗 口中 单 击 “ 下 一 步 ” 按 钮 ， 出 现 网 络 连 接 类 型 设置 窗 
如 图 7-24 所 示 。 


(3) 选择 “连接 到 我 的 工作 场所 的 网 络 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 出 现 选择 连 
接 方式 对 话 框 ， 如 图 7-25 所 示 。 

(4) 选择 “虚拟 专用 网 络 连接 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 出 现 设置 连 接 名 称 对 
话 框 ， 如 图 7-26 所 示 。 

(5) 设置 完成 公司 名 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 出 现 设置 VPN 服务 器 名 或 者 人 P 地 址 
的 对 话 框 ， 如 图 7-27 所 示 。 
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EEEEEE 
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名 想 要 在 工作 点 如 问 与 网 络 簿 拥 ? 分 
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2 di * 或 设置 此 计算 机 使 其 己 
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全 用 讶 拟 专用 网 阁 FD 胃 过 Internet 连接 到 网 络 。 


smFF55 引 到 | 


| 


图 7-24 网 络 连接 类 型 设置 窗口 


新 建 连接 向 导 


连接 名 
指定 连接 下 的 工作 场所 的 连接 名 称 ， | 


esosrsae 


例 0， 您 可 以 输入 您 的 工作 地 点 名 或 伐 连 接 到 的 服务 器 名 。 


图 7-25 连接 方式 选择 对 话 框 
新 建 连接 向 导 


最 务 加 和田 A 
VP 服务 器 的 各 称 台地 址 是 什么 ? ) 
铀 入 才 正 连接 的 计算 机 的 主机 名 束 I 地 址 。 


主机 名 或 I 地 址 (例如 ,nicrosoft, com 或 157.54.0.1) QH); 
ee estam 


《上 一 步 四 [下 - 步 四 )] 取消 


图 7-26 连接 名 设置 对 话 框 


《< 上- 步 @) [下 一 步 WD )| 取消 


图 7-27 VPN 服务 器 设置 


(6) 设置 好 VPN 服务 器 的 主机 名 或 者 人 P 地 址 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 出 现 可 用 连 


接 用 户 设置 对 话 框 ， 如 图 7-28 所 示 。 


(7) 选择 “只 是 我 使 用 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 


7-29 所 示 。 


新 建 连接 向 导 


用 连接 
您 可 使 此 新 入 接 为 任何 用 户 所 用 或 忆 为 你 自己 所 用 。 Co) 
4d 


《上 - 步 @) 取消 


图 7-28 选择 可 用 连接 用 户 


(8) 选择 “在 我 的 桌面 上 添加 一 个 到 此 连接 的 快捷 方式 ” 复 选 框 ， 自 
完成 对 VPN 服务 器 连接 的 设置 ， 出 现 连 接 VPN 服务 器 的 窗口 ， 如 
(9) 在 连接 VPN 服务 器 对 话 框 上 , 输入 用 于 拨 入 VPN 的 用 户 名 和 密码 , 然后 间 


出 现 完成 设置 对 话 框 ， 如 图 


正在 完成 新 建 连接 向 导 


悠 已 成 功 完 成 创建 下 列 连 接 需要 的 步 对 


Ausoft-sales 


此 连接 格 被 存 入 “网 络 和 连接" 文件 到 ， 
忆 竹 和 的 让 面 上 江 加 一 个 关于 尝 搓 的 忆捷 廊 式 信 〗 


要 创 娃 此 注 接 并 关闭 向 导 ， 单 击 “ 完 成 ”。 


tsw BR |] mw | 


图 7-29 设置 完成 对 话 框 


单 击 “ 完 成 ”按钮 ， 
图 7-30 所 示 。 


击 “ 连 
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接 ” 按 钮 。 系 统 会 建立 一 个 到 VPN 服务 器 的 连接 ，VPN 连接 成 功 后， 你 可 以 单 击 任务 栏 
弹出 的 “气球 ”以 获得 VPN 连接 的 详细 信息 ， 如 图 7-31 所 示 。 


PSW: em 
SBD: [em 


厂 为 下 面 用 户 保存 用 户 名 和 密码 @): 
人 只 是 我 们 
信任 何 使 用 此 计算 机 的 大 从 


取消 |。 悍 性 o | 下 押 wp | 
图 7-30 连接 VPN 服务 器 窗口 图 7-31 VPN 连接 属性 窗口 

(10) 打开 浏览 器 ， 访 问 内 部 网 络 中 的 VPN 服务 器 上 的 Web 服务 ， 出 现 访问 成 功 的 
窗口 显示 ， 如 图 7-32 所 示 。 


文员 ME(D 喜 看 D 网 工具 (D 一 让 

2 J EI NL ED i] 
Mik(0) [to /92.1o0.1. to GE 

Seaae[G- el1 可 略 -| 安 wonets- 必 Hsbedod 思 Or 


169.254. 192. 122 


169, 254. 92. 236 


是 


] 建设 中 
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在 打开 文本 从 中 ,， 鲁 入 inetegr。 村 二 现 715 管理 名 
3 轩 
信息 服务 。 
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Terme 


图 7-32 访问 VPN 服务 器 成 功 窗口 


7.4 安全 审计 


网 络 给 我 们 带 来 了 非常 广泛 的 方便 ， 使 得 我 们 能 够 在 网 络 存在 的 地 方 非常 方便 地 发 送 
和 接收 信息 ， 同 时 ， 也 给 我 们 带 来 了 安全 风险 ， 通 过 对 日 常 的 计算 机 操作 行为 进行 安全 审 
计 ， 可 以 有 效 防止 某 些 特定 人 为 造成 的 信息 泄密 问题 。 

1. 邮件 安全 审计 

(1) 监视 并 记录 通过 OutLook Foxmail 等 工具 接收 /发 送 邮件 的 邮件 正文 和 附件 ; 

(2) 监视 并 记录 通过 Web 页 面 发 送 的 Web 邮件 内 容 和 附件 ; 

(3) 控制 外 发 邮件 的 大 小 ; 

(4) 对 邮箱 的 过 滤 ， 限 定 只 能 对 某 些 邮箱 进行 发 送 ; 

(5) 限制 收发 邮件 的 端口 ; 

(6) 使 用 延迟 发 送 技术 ， 等 待 邮 件 被 审核 后 ， 再 决定 是 否 允 许 发 送 。 
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2. 聊天 工具 审计 

(1) 监视 MSN Messenger /Yahoo Messenger /ICQ 等 聊天 工具 的 聊天 内 容 ; 监视 发 送 
和 接收 到 的 消息 以 及 文件 ; 

(2) 有 效 控制 聊天 软件 的 使 用 权 。 

3. 上 网 安全 审计 

(1) 记录 浏览 过 的 网 站 URL; 

(2) 记录 通过 Web 方式 对 外 发 送 的 信息 ; 

(3) 对 网 站 建立 黑白 名 单 并 建立 多 种 过 滤 库 ， 禁 止 浏览 无 关 信 息 ; 

(4) 限制 某 些 计算 机 的 上 网 时 间 ; 

(5) 可 控制 下 载 某 些 类 型 的 文件 。 

4. 其 他 协议 的 审计 

(1) FTP 详细 命令 监控 /FTP 上 传 文件 内 容 记 录 ; 

(2) Telnet 详细 命令 记录 ; 

(3) Netbios 命令 监控 。 

5. 上 网 流量 审计 

(1) 可 实时 看 到 每 台 上 网 机 器 的 网 络 流量 ; 

(2) 可 统计 每 台 机 器 在 某 段 时 间 的 上 网 流量 ; 

(3) 可 限制 每 台 机 器 的 上 网 流量 。 


7.5 企业 广域网 安全 


对 于 大 型 企业 来 说 ， 面 对 分 布 于 不 同 地 点 或 不 同城 市 的 分 支 机 构 ， 其 安全 不 再 仅仅 局 
限于 局 域 网 ， 如 何 确保 广域网 的 安全 也 成 为 一 个 迫切 需要 考虑 的 难题 。 

对 于 大 型 企业 来 说 ， 它 的 分 支 机 构 可 能 分 布 于 一 座 城市 的 不 同 地 点 ， 甚 至 于 分 布 在 不 
同 的 城市 。 那么 对 于 这 样 的 一 个 大 型 企业 , 它 的 网 络 安全 问题 就 不 仅 局 限于 局 域 网 的 安全 ， 
还 涉及 到 广域网 的 安全 问题 。 下 面向 大 家 阐述 一 下 大 型 企业 的 广域网 络 的 安全 策略 。 

1. 确保 骨干 网 数据 畅通 

省 级 分 支 机 构 连 接 到 总 部 和 地 市 级 分 支 机 构 的 网 络 是 整个 系统 的 骨干 网 络 。 该 网 络 必 
须 保证 数据 畅通 ， 能 够 快速 转发 数据 。 为 此 ， 骨 干 网 络 可 以 采用 两 个 独立 的 电信 运营 商 的 
线路 ， 连 接 到 省 级 分 支 机 构 的 两 台 主 干 路 由 器 上 ， 其 中 一 条 为 电信 的 线路 ， 另 外 一 条 为 联 
通 或 广电 网 络 的 线路 。 省 级 分 支 机 构 到 下 属 各 地 市 级 分 支 机 构 的 数据 通信 采用 QoS 自动 控 
制 数据 流量 ， 实 现 负 载 均衡 。 在 正常 情况 下 ， 生 产 的 数据 在 电信 的 线路 上 传输 ， 而 办 公 的 
数据 则 在 联通 或 广电 网 络 的 线路 上 传输 。 一 旦 某 一 条 线路 出 现 中 断 ， 其 上 传输 的 数据 会 自 
动 转移 到 另 一 条 线路 上 ， 实 现 两 条 线路 自动 热 备份 。 

2. 使 用 DDN/ISDN 宛 余 备份 

省 级 分 支 机 构 到 下 属 各 营业 网 点 的 线路 采用 了 3 条 电信 的 155M ATM 线 路 ,将 此 155M 
线路 划分 为 2M 的 时 隙 分 别 连接 到 各 下 属 的 100 多 个 营业 网 点 。 各 营业 网 点 租用 了 电信 的 
2M SDH 线路 与 省 级 相连 , 同时 我 们 还 在 各 营业 网 点 租用 了 DDN 或 ISDN 的 线路 作为 对 2M 
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线路 的 备份 。 一 旦 2M 线路 出 现 故 障 ，DDN 线路 或 ISDN 线路 将 自动 启用 ， 保 证 各 营业 网 
点 业务 的 正常 运行 。 

3. 核心 网 络 设备 做 好 应 急 方案 

省 级 分 支 机构 采 用 两 台 Cisco 7206 路 由 器 与 总 部 连接 ， 采 用 两 台 Cisco 7507 与 下 属地 
市 级 分 支 机 构 连 接 。 这 些 核心 网 络 设备 一 旦 出 现 故 障 将 严重 影响 业务 的 安全 生产 ， 因 此 必 
须 防 患 于 未 然 ， 针 对 每 一 台 核 心 网 络 设备 制订 出 相应 的 应 急 处 理 方案 ， 将 故障 的 影响 排除 
到 最 小 ， 这 是 网 络 安全 策略 的 重 中 之 重 。 

4. 传输 数据 采用 加 密 技术 

加 密 型 网 络 安全 技术 的 基本 思想 是 不 依赖 于 网 络 中 数据 通道 的 安全 性 来 实现 网 络 系统 
的 安全 ， 而 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 。 数 据 加 密 技术 可 以 分 为 三 
类 : 对 称 型 加 密 、 非 对 称 型 加 密 和 不 可 逆 加 密 。 其 中 不 可 逆 加 密 算 法 不 存在 密 钥 保管 和 分 
发 问题 ， 适 用 于 分 布 式 网 络 系统 ， 但 是 其 加 密 计 算 量 相当 可 观 。 近 年 来 ， 随 着 计算 机 系统 
性 能 的 不 断 提 高 ， 不 可 逆 加 密 算法 的 应 用 逐渐 增加 ， 常 用 的 如 RSA 公司 的 MD5 和 美国 国 
家 标准 局 的 SHS。 省 级 分 支 机 构 的 路 由 器 上 采用 了 路 由 协议 MD5 认证 。 

5. 应 用 防 病毒 访问 控制 列表 

在 省 级 分 支 机 构 路 由 器 广域网 端口 上 应 用 防 病毒 访问 控制 列表 ， 可 以 避免 个 别 区 域 网 
感染 的 一 些 病毒 通过 广域网 传播 到 另 一 局 域 网 。 

如 在 广域网 端口 上 应 用 包含 以 下 内 容 的 访问 控制 列表 


(1) ip access-list extended virus; 


(2) deny tcp any any eq 137; 

(3) deny tcp any any eq 138; 

(4) deny tcp any any eq 139; 

(5) deny tcp any any eq 1433; 

(6) deny tcp any any eq 1434。 

6. 使 用 外 联 专用 路 由 器 

随 着 各 项 中 间 业 务 的 拓展 ,与 合作 伙伴 的 网 络 连 接 越 来 越 多 ， 各 种 应 用 交错 于 网 络 中 。 
因此 ， 采 取 安 全 保护 措施 ， 确 保 自身 网 络 的 安全 必须 予以 高 度 重 视 。 

网 络 和 外 联 单 位 的 外 网 互联 边界 ， 必 须 和 内 部 网 络 的 核心 路 由 器 隔离 ， 外 网 边界 集中 
到 一 台 专 用 的 外 网 路 由 器 上 ， 便 于 网 络 安全 的 管理 及 安全 防护 策略 的 实施 。 

针对 外 联网 络 专用 服务 器 ， 可 以 采取 以 下 安全 策略 : 

(1) 在 外 网 路 由 器 上 仅 采 用 静态 路 由 ， 保 证 路 由 安全 性 ; 

(2) 外 网 路 由 器 必须 关闭 CDP， 以 免 泄 露 外 网 路 由 器 信息 ; 

(3) 启用 路 由 器 ACS 用 户 认 证 ; 

(4) 基于 多 重 保 护 原 则 ， 外 网 路 由 器 也 启用 ACL， 和 防火 墙 安全 策略 保持 一 致 ， 确 
保 在 防火 墙 发 生 故 障 时 还 保持 相当 的 防护 。 

省 级 分 支 机 构 采 取 Cisco PIX 550 防火 墙 在 物理 上 隔离 内 网 和 外 网 , 使 内 网 和 外 网 的 访 
问 都 要 通过 防火 墙 的 检查 ， 以 达到 控制 内 网 和 外 网 数据 流 的 目的 ， 从 而 增强 外 网 安全 性 ， 
保证 了 外 网 边界 能 够 防范 和 抵御 大 部 分 常见 的 黑客 攻击 手段 。 

在 部 署 防火 墙 时 ， 也 应 考虑 一 些 具体 的 安全 策略 ， 具 体 如 下 。 
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(1) 外 网 访问 内 网 的 安全 策略 

对 外 网 采用 静态 路 由 ， 精 确 到 主机 位 ， 且 不 使 用 默认 路 由 ; 外 网 指定 主机 通过 MIP 地 
址 来 访问 内 网 中 间 业 务 服 务 器 ; 外 网 指定 主机 只 人 允许 访问 内 网 中 间 业 务 服务 器 的 应 用 端口 。 

(2) 内 网 访问 外 网 的 安全 策略 

对 内 采用 静态 路 由 ， 精 确 到 主机 位 ， 且 不 使 用 默认 路 由 ; 内 网 中 间 业 务 服务 器 访问 外 
网 时 将 转换 成 相应 的 MIP， 从 而 屏蔽 内 网 地 址 ; 内 网 中 间 业 务 服务 器 将 只 访问 外 网 指定 主 
机 的 应 用 端口 。 

(3) 防火 墙 自身 安全 策略 

设 定 防火 墙 的 一 个 端口 为 内 网 端口 。 使 用 专用 的 管理 VLAN 地 址 段 。 仅 指定 该 端口 为 
管理 端口 ， 其 他 端口 均 不 允许 提供 任何 管理 防火 墙 的 服务 。 仅 指定 专用 管理 VLAN 内 的 个 
别 或 部 分 瑟 地址 允许 对 防火 墙 进行 管理 。 

7. 加 强 对 外 联 拨号 的 监控 

防火 墙 的 设置 解决 了 网 络 出 口 的 安全 问题 ， 但 是 一 旦 局 域 网 内 的 用 户 通过 非法 拨号 到 
外 网 ， 外 网 的 黑客 便 可 以 轻易 地 攻破 这 台 拨 号 的 计算 机 ， 从 而 进一步 攻 入 内 网 。 局 域 网 内 
经 常 有 用 户 通过 拨号 非法 外 联 ,给 入 侵 者 提供 了 一 个 后 门 , 因此 必须 使 用 防 非法 外 联 软件 ， 
对 网 络 连接 状况 进行 实时 监控 。 


7.6 ”电子 商务 安全 


电子 商务 的 安全 不 仅仅 是 狭义 上 的 网 络 安 全 ， 比 如 防 病毒 、 防 黑客 、 入 侵 检 测 等 ， 从 
广义 上 讲 还 包括 信息 的 完整 性 以 及 交易 双方 身份 的 不 可 抵赖 性 ， 从 这 种 意义 上 来 说 ， 电 子 
商务 的 安全 涵盖 面 比 一 般 的 网 络 安全 要 广泛 得 多 ， 从 整体 上 可 分 为 两 大 部 分 :计算 机 网 络 
安全 和 商务 交易 安全 。 


7.6.1 电子 商务 安全 策略 


实现 电子 商务 的 关键 是 要 保证 商务 活动 过 程 中 系统 的 安全 性 ， 即 保证 基于 互联 网 的 电 
子 交 易 过 程 与 传统 交易 的 方式 一 样 安全 可 靠 。 电 子 商 务 的 安全 主要 采用 数据 加 密 和 身份 认 
证 技术 。 

1. 认证 系统 

电子 商务 的 关键 是 安全 ， 网 上 安全 交易 的 基础 是 数字 证 书 。 要 建立 安全 的 电子 商务 系 
统 ， 必 须 首 先 建立 一 个 稳固 、 健 全 的 CA; 否则 ， 一 切 网 上 的 交易 都 没有 安全 保障 。 

2. 认证 系统 的 基本 原理 

传统 的 对 称 密 钥 算法 具有 加 密 强 度 高 、 运 算 速度 快 的 优点 ， 但 密 钥 的 传递 与 管理 问题 
限制 了 它 的 一 些 应 用 。 为 解决 此 问题 ， 七 十 年 代 密码 界 出 现 了 公开 密 钥 算法 ， 该 算法 使 用 
对 密 钥 即 一 个 私 钥 和 一 个 公 钥 ， 其 对 应 关系 是 唯一 的 ， 公 钥 对 外 公开 ， 私 钥 个 人 秘密 保 
存 。 一 般 用 公 钥 来 进行 加 密 ， 用 私 钥 来 进行 签名 ; 同时 私 钥 用 来 解密 ， 公 钥 用 来 验证 签名 。 
算法 的 加 密 强 度 主要 取决 于 选 定 的 密 钥 长 度 。 

RSA 算法 是 公开 密 钥 算法 中 研究 最 为 深入 ， 使 用 最 为 广泛 的 算法 ， 为 大 多 数 国家 地 区 
的 官方 或 非 官 方 所 采用 。 利 用 RSA 公开 密 钥 算法 在 密 钥 自动 管理 、 数 字 签 名 、 身 份 识别 等 
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方面 的 特性 ， 可 建立 一 个 为 用 户 的 公开 密 钥 提供 担保 的 可 信 的 第 三 方 认证 系统 。 这 个 可 信 
的 第 三 方 认证 系统 也 称 为 CA，CA 为 用 户 发 放电 子 证 书 ， 用 户 之 间 〈 比 如 网 银 服务 器 和 某 
客户 之 间 ) 利用 证 书 来 保证 信息 安全 性 和 双方 身份 的 合法 性 。 

3. 系统 结构 

所 谓 系统 就 是 一 个 大 的 网 络 环境 。 系 统 从 功能 上 基本 可 以 划分 为 CA、RA 和 WP。 

核心 系统 和 CA 放 在 一 个 单独 的 封闭 空间 中 ， 为 了 保证 运行 的 绝对 安全 ， 其 人 员 及 制 
度 都 应 有 严格 的 规定 , 并 且 系 统 设 计 为 离线 网 络 。 CA 的 功能 是 在 收 到 来 自 RA 的 证 书 请 求 
时 颁发 证 书 。 一 般 的 个 人 证 书 发 放 过 程 都 是 自动 进行 ， 无须 人 工 干预 。 

以 网 上 银行 为 例 ， 证 书 的 登记 机 构 Register Authority， 简 称 RA， 分 散在 各 个 网 上 银行 
的 地 区 中 心 。RA 与 网 上 银行 中 心 有 机 结合 ， 接 受 客户 申请 ， 并 审批 申请 ， 把 证 书 正式 请 求 
通过 银行 企业 内 部 网 发 送 给 CA 中 心 。RA 与 CA 双方 的 通信 报 文 也 通过 RSA 进行 加 密 ， 
确保 安全 。 系 统 的 分 布 式 结构 适 于 新 业务 网 点 的 开设 ， 具 有 较 好 的 扩充 性 。 通 信 协 议 为 
TCP/IP。 

证 书 的 公布 系统 Web Publisher， 简 称 WP， 置 于 Intemet 网 上 ， 是 普通 用 户 和 CA 直接 
交流 的 界面 。 对 用 户 来 讲 它 相当 于 一 个 在 线 的 证 书 数据 库 。 用 户 的 证 书 颁发 之 后 ，CA 用 
E-mail 通知 用 户 ， 然 后 用 户 须 用 浏览 器 从 这 里 下 载 证 书 。 

4. SSL 协议 

SSL 协议 是 Netscape 公司 在 网 络 传输 层 之 上 提供 的 一 种 基于 RSA 和 保密 密 钥 的 用 于 浏 
览 器 和 Web 服务 器 之 间 的 安全 连接 技术 。 它 被 视 为 Intemet 上 Web 浏览 器 和 服务 器 的 标 
准 安全 性 措施 。SSL 提供 了 用 于 启动 TCP/IP 连接 的 安全 性 “信号 交换 ”。 这 种 信号 交换 
导致 客户 和 服务 器 同意 将 使 用 的 安全 性 级 别 ， 并 履行 连接 的 任何 身份 验证 要 求 。 它 通过 数 
字 签 名 和 数字 证 书 可 实现 浏览 器 和 Web 服务 器 双方 的 身份 验证 。 在 用 数字 证 书 对 双方 的 身 
份 验 证 后 ， 双 方 就 可 以 用 保密 密 钥 进行 安全 的 会 话 了 。 

SSL 协议 在 应 用 层 收发 数据 前 ， 协 商 加 密 算法 、 连 接 密 钥 并 认证 通信 双方 ， 从 而 为 应 
用 层 提供 了 安全 的 传输 通道 ; 在 该 通道 上 可 透明 加 载 任何 高 层 应 用 协议 〈 如 HITP、FTP、 
TELNET 等 ) 以 保证 应 用 层 数 据 传输 的 安全 性 。SSL 协议 独立 于 应 用 层 协 议 ， 因 此 ， 在 电 
子 交 易 中 被 用 来 安全 传送 信用 卡号 码 。 

中 国 目前 多 家 银行 均 采 用 SSL 协议 , 如 在 目前 中 国 的 电子 商务 系统 中 能 完成 实时 支付 ， 
用 的 最 多 的 招行 一 网 通 采用 的 就 是 SSL 协议 。 所 以 ， 从 目前 实际 使 用 的 情况 看 ，SSL 还 是 
人 们 最 信赖 的 协议 。 

SSL 当初 并 不 是 为 支持 电子 商务 而 设计 的 ， 所 以 在 电子 商务 系统 的 应 用 中 还 存在 很 多 
闵 端 。 它 是 一 个 面向 连接 的 协议 ， 在 涉及 多 方 的 电子 交易 中 ， 只 能 提供 交易 中 客户 与 服务 
器 间 的 双方 认证 ， 而 电子 商务 往往 是 用 户 、 网 站 、 银 行 三 家 协作 完成 ，SSL 协议 并 不 能 协 
调 各 方 间 的 安全 传输 和 信任 关系 ; 还 有 ， 购 货 时 用 户 要 输入 通信 地 址 ， 这 样 将 可 能 使 得 用 
户 收 到 大 量 垃圾 信件 。 
因此 ,为 了 实现 更 加 完善 的 电子 交易 ，MasterCard 和 Visa 以 及 其 他 一 些 业界 厂商 制订 
并 发 布 了 SET 协议 。 

5. SET 协议 

SET 协议 是 针对 开放 网 络 上 安全 、 有 效 的 银行 卡 交易 ， 由 Visa 和 Mastercard 联合 研制 


218 网 络 安全 基础 教程 


的 ， 为 Intermet 上 卡 支付 交易 提供 高 层 的 安全 和 反 欺 诈 保 证 。 

SET 协议 保证 了 电子 交易 的 机 密 性 、 数 据 完整 性 、 身 份 的 合法 性 和 抗 否认 性 。 

SET 是 专门 为 电子 商务 而 设计 的 协议 ， 虽 然 它 在 很 多 方面 优 于 SSL 协议 ， 但 仍然 不 
能 解决 电子 商务 所 遇 到 的 全 部 问题 。 而 且 ，SET 遭 到 有 些 银 行 的 抵制 ， 其 前 途 如 何 ， 尚 
未 得 知 。 


7.6.2 ”电子 商务 安全 技术 


1. PKI 在 电子 商务 中 的 作用 

公 钥 基础 设施 PKI (Public-key Infrastructure) 是 解决 信任 和 加 密 问 题 的 基本 解决 方案 。 

网 络 环境 下 , 特别 是 Intemet 环境 下 的 电子 交易 往往 是 在 互 不 相识 的 消费 者 和 销售 商 或 
企业 和 企业 之 间 发 生 的 。 对 “ 互 不 相识 ”更 加 准确 的 描述 应 当 是 “ 互 不 信任 ”。 公 钥 加 密 
技术 的 发 明 使 得 互 不 相识 的 两 个 人 (或 主体 ) 可 以 安全 地 通信 。 在 规模 不 大 的 网 络 或 较为 
封闭 的 网 络 中 , 通信 主体 可 以 通过 KDC 这 一 类 的 密 钥 分 发 或 管理 中 心 可 靠 地 获得 通信 对 方 
的 公 钥 ， 即 通过 KDC 和 协议 可 以 实现 安全 的 公 钥 分 发 。 但 是 在 较 大 规模 的 网 络 环境 中 ， 特 
别 是 在 Intemet 环境 下 ，KDC 不 再 适用 ， 因 而 这 种 环境 下 的 公 钥 分 发 问题 成 为 最 突出 的 问 
题 。 可 靠 地 获得 通信 对 方 的 公 钥 的 问题 在 网 络 环境 下 就 是 信任 的 问题 ， 因 而 大 规模 网 络 中 
最 突出 的 问题 也 就 是 信任 的 问题 。PKI 的 本 质 就 是 实现 了 大 规模 网 络 中 的 公 钥 分 发 问题 ， 
建立 了 大 规模 网 络 中 的 信任 基础 。 

PKI 是 创建 、 管 理 、 存 储 、 分 发 和 取消 基于 公 钥 加 密 的 公 钥 证 书 所 需要 的 一 套 硬件 、 
软件 、 人 、 策 略 和 过 程 的 集合 。PKI 框架 中 的 核心 元 素 是 公 钥 证 书 ，PKI 的 核心 实施 者 是 
认证 中 心 (CA，Certification Authority》。 公 钥 证 书 是 CA 对 主体 的 公 钥 和 主体 的 其 他 属性 
做 签名 而 形成 的 一 种 信息 结构 。 公 钥 证 书 将 主体 的 公 钥 以 及 其 他 属性 与 主体 的 身份 绑 定 。 
主体 之 间 对 彼此 的 信任 ， 也 即 对 彼此 公 钥 和 其 他 属性 的 相信 ， 建 立 在 主体 对 CA 的 信任 的 
基础 上 。 尽 管 两 个 主体 互 不 认识 ,但 只 要 二 者 都 通过 同一 个 CA 的 考察 并 获得 该 CA 签发 
的 证 书 ， 则 二 者 通过 成 功 地 验证 彼此 的 证 书 的 正确 性 、 有 效 性 ， 就 可 以 建立 信任 关系 。 当 
然 ， 在 实际 网 络 环境 中 不 可 能 只 有 一 个 CA， 因 此 PKI 给 出 了 两 种 传统 的 信任 模型 层次 
信任 模型 和 网 状 信任 模型 ， 以 解决 不 同 的 管理 域 ( 即 一 个 CA 所 管理 的 域 ) 中 的 主体 间 的 
信任 问题 。 此 外 ， 美 国 和 加 拿 大 还 推出 了 桥 CA 信任 模型 。 桥 CA 的 目的 是 连接 多 个 PKI， 
建立 PKI 间 的 信任 关系 和 实现 PKI 间 的 互 操作 。 这 些 PKI 的 信任 模型 可 以 是 任何 传统 类 型 
的 信任 模型 。 桥 CA 与 各 个 PKI 中 被 选 做 主 CA (principal CA) 的 CA 做 交叉 认证 。 若 一 
个 PKI 用 层次 信任 模型 实现 ， 则 桥 CA 与 其 根 CA 建立 交叉 认证 ; 若 一 个 PKI 用 网 状 信任 
模型 实现 ， 则 桥 CA 只 与 其 中 的 一 个 CA 建立 交叉 认证 。 桥 CA 只 是 一 个 中 介 ， 它 不 直接 
向 用 户 发 证 书 ， 也 不 作为 一 个 根 信 任 点 。 

PKI 很 好 地 解决 了 大 规模 网 络 环境 中 的 信任 这 一 难题 ， 从 而 保证 了 验证 、 机 密 性 、 完 
整 性 和 非 否认 的 有 效 实 施 。 验 证 、 机 密 性 、 完 整 性 和 非 否 认 都 是 电子 商务 所 必需 的 安全 
服务 。 

虽然 PKI 建 立 了 大 规模 网 络 环境 中 的 信任 和 安全 的 公 钥 分 发 的 理论 基础 ,但 实际 中 PKI 
的 成 功 实施 将 更 多 地 取决 于 管理 、 法 律 、 商 业 等 方面 的 合理 约定 ， 对 于 电子 商务 也 不 例外 。 
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2. 数字 签名 与 PKI 

目前 得 到 认可 并 被 广泛 应 用 的 数字 签名 方案 都 是 基于 公 钥 密码 学 的 。 简 单 地 讲 ， 数 字 
签名 就 是 签名 者 利用 自己 的 私 钥 对 数据 的 摘要 进行 的 运算 ， 任 何人 可 以 用 签名 者 的 公 钥 对 
数字 签名 进行 验证 。 在 数字 化 世界 中 ， 数 字 签 名 作为 手写 签名 的 蔡 代 形式 ， 具 有 不 可 蔡 代 
的 地 位 : 消息 是 可 信 的 ， 消 息 是 经 签名 者 认可 的 ; 消息 是 完整 的 ， 经 过 签名 的 消息 不 能 发 
生 任何 改动 ;签名 不 可 重用 ， 签 名 结果 是 关于 消息 的 函数 ， 不 能 用 于 其 他 消息 ; 签名 不 可 
和 否认， 签名 结果 不 能 为 他 人 伪造 ， 因 而 签名 者 不 能 否认 其 签名 。 

在 实际 中 ， 若 要 应 用 数字 签名 技术 ， 必 须 保 证 两 点 : 即 私 钥 的 保密 性 和 公 钥 的 公开 性 。 
私 钥 的 保密 性 由 用 户 自己 来 完成 ， 目 前 认为 通过 智能 卡 来 保存 是 最 安全 的 方式 。 而 公 钥 的 
公开 性 ， 即 任何 人 都 能 够 知道 其 他 所 有 人 的 可 信 公 钥 ， 是 应 用 数字 签名 的 最 大 困难 。 通 过 
可 信 第 三 方 一 一 认证 机 构 (CA) 颁发 数字 证 书 ， 是 解决 公 钥 分 发 问题 的 最 有 效 途径 。 关 于 
数字 证 书 的 生成 、 颁 发 、 管 理 、 撤 销 过 程 中 所 涉及 的 所 有 软件 、 硬 件 、 过 程 规范 、 法 律 法 
规 、 人 员 等 统称 为 公 钥 基 础 设施 (PKI) 。PKI 提供 了 一 种 机 制 ， 使 得 验证 者 能 够 确信 签名 
者 公 钥 的 真实 性 ， 因 此 ，PKI 是 实现 数字 签名 的 基础 。 

3. 虚拟 专用 网 (VPN) 

这 是 用 于 Intemet 交易 的 一 种 专用 网 络 , 它 可 以 在 两 个 系统 之 间 建 立 安全 的 信道 (或 隧 
道 ) ， 用 于 电子 数据 交换 (EDI) 。 它 与 信用 卡 交易 和 客户 发 送 订单 交易 不 同 ， 因 为 在 VPN 
中 ， 双 方 的 数据 通信 量 要 大 得 多 ， 而 且 通信 的 双方 彼此 都 很 熟悉 。 这 意味 着 可 以 使 用 复杂 
的 专用 加 密 和 认证 技术 ， 只 要 通信 的 双方 默认 即 可 , 没有 必要 为 所 有 的 VPN 进行 统一 的 加 
密 和 认证 。 

尽管 VPN 是 进行 电子 商务 的 一 种 十 分 理想 的 形式 ， 而 且 它 使 用 的 加 密 和 认证 技术 可 
以 大 大 提高 电子 商务 的 安全 性 ， 但 它 的 安全 问题 仍 不 容 忽视 。 黑 客 们 都 以 能 够 攻破 那些 
“安全 ”的 网 络 为 乐 ， 因 此 ， 越 是 安全 的 网 络 就 越 容易 受到 黑客 的 攻击 。 对 此 ， 现 有 的 
或 正在 开发 的 数据 隧道 系统 可 以 进一步 增加 VPN 的 安全 性 ， 因 而 能 够 保证 数据 的 保密 性 
和 可 用 性 。 

4. 对 加 密 算法 的 控制 

保证 电子 商务 安全 的 最 重要 的 一 点 就 是 使 用 加 密 技术 对 敏感 的 信息 进行 加 密 。 现 在 ， 
一 些 专 用 密 钥 加 密 (如 TripleDES、IDEA、RC4 和 RC5) 和 公 钥 加 密 (如 RSA、SEEK、 
PGP 和 EU) 可 用 来 保证 电子 商务 的 保密 性 、 完 整 性 、 真 实 性 和 非 否认 服务 。 然 而 ， 这 些 
技术 的 广泛 使 用 却 不 是 一 件 容易 的 事情 。 

密码 学 界 有 一 句 名 言 ， 加 密 技 术 本 身 都 很 优秀 ， 但 是 它们 实现 起 来 却 往往 很 不 理想 。 
现在 虽然 有 多 种 加 密 标 准 ， 但 人 们 真正 需要 的 是 针对 企业 环境 开发 的 标准 加 密 系统 。 加 密 
技术 的 多 样 化 为 人 们 提供 了 更 多 的 选择 余地 ， 但 也 同时 带 来 了 一 个 兼容 性 问题 ， 不 同 的 商 
家 可 能 会 采用 不 同 的 标准 。 针 对 这 个 问题 ，Netscape 推出 了 SSL (安全 套 接 层 ) ， 主 要 目 
的 是 提供 Intemet 上 的 安全 通信 服务 ， 其 版 本 已 升级 到 SSL3.0。 虽 然 它 能 够 对 信用 卡 和 个 
人 信息 提供 较 强 的 保护 ， 但 加 密 技 术 向 来 是 由 国家 控制 的 ，SSL 的 出 口 自 然 受到 美国 国家 
安全 局 (NSA) 的 限制 。 目 前 ， 美 国 的 商家 一 般 都 可 以 使 用 128 位 的 SSL， 但 美国 只 允许 
加 密 密 钥 为 40 位 以 下 的 算法 出 口 。 虽 然 40 位 的 SSL 也 具有 一 定 的 加 密 强 度 ， 但 它 的 安全 
系数 显然 比 128 位 的 SSL 要 低 得 多 。 据 报 载 ， 最 近 美 国 加 州 已 经 有 人 成 功 地 破译 了 40 位 
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的 SSL， 这 已 引起 了 人 们 的 广泛 关注 。 美 国 以 外 的 国家 很 难 真 正在 电子 商务 中 充分 利用 
SSL， 这 不 能 不 说 是 一 种 遗憾 。 

当前 ， 在 信用 卡 交 易 方 面 ， 商 家 可 以 通过 SSL 在 Web 上 实现 对 信用 卡 订单 的 加 密 ， 
Navigator 和 Intemet Explorer 浏览 器 都 支持 SSL。 虽 然 它 是 基于 强 公 钥 加 密 技术 以 及 RSA 
的 专用 密 钥 序 列 密码 ， 可 以 为 电子 商务 提供 较 强 的 加 密 保护 ， 但 SSL 在 全 球 的 大 规模 使 用 
还 有 一 定 的 难度 。 
7.6.3 ”电子 商务 安全 规范 

电子 商务 安全 规范 可 分 为 安全 、 认 证 两 方面 的 规范 。 

1. 安全 规范 

当前 电子 商务 的 安全 规范 包括 加 密 算法 、 报 文摘 要 算法 、 安 全 通信 协议 等 方面 的 规范 。 

(1) 加 密 算法 

基本 加 密 算法 有 两 种 ， 即 对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 ， 用 于 保证 电子 商务 中 数据 
的 保密 性 、 完 整 性 、 真 实 性 和 非 抵赖 服务 。 

(2) 报 文 摘要 算法 

报 文摘 要 算法 即 采用 单 向 哈 希 算 法 将 需要 加 密 的 明文 进行 摘要 ， 而 产生 的 具有 固定 
长 度 的 单 向 散 列 〈 哈 希 ) 值 。 其 中 ， 散 列 函 数 是 将 一 个 不 同 长 度 的 报 文 转换 成 一 个 数字 
串 〈 即 报 文摘 要 〉 的 公式 ， 该 函数 不 需要 密 钥 ， 公 式 决定 了 报 文摘 要 的 长 度 。 报 文摘 要 
和 非 对 称 加 密 一 起 ， 提 供 数字 签名 的 方法 。 报 文摘 要 算法 主要 有 安全 散 列 标准 、MD2 系 
列 标准 。 

(3) 加 密 通 信 协 议 (SSL) 

安全 套 接 层 协议 是 一 种 保护 Web 通信 的 工业 标准 ， 主 要 目的 是 提供 INTERNET 上 的 
安全 通信 服务 ， 是 基于 强 公 钥 加 密 技术 以 及 RSA 的 专用 密 钥 序列 密码 ， 能 够 对 信用 卡 和 个 
人 信息 、 电 子 商务 提供 较 强 的 加 密 保护 。SSL 在 建立 连接 过 程 上 采用 公开 密 钥 ， 在 会 话 过 
程 中 使 用 专 有 密 钥 。SSL 的 缺陷 是 只 能 保证 传输 过 程 的 安全 ， 无 法 知道 在 传输 过 程 中 是 否 
受到 窃听 ， 黑 客 可 以 此 破译 SSL 的 加 密 数 据 ， 破 坏 和 盗窃 Web 信息 。 新 的 SSL 协议 被 命 
名 为 TLS (Transport Layer Security) ， 安 全 可 靠 性 可 有 所 提高 ， 但 仍 不 能 消除 原 有 技术 上 
的 基本 缺陷 。 

2. 认证 规范 

(1) 数字 签名 

数字 签名 是 公开 密 钥 加 密 技术 的 一 种 应 用 ， 是 指 用 发 送 方 的 私有 密 钥 加 密 报 文摘 要 ， 
然后 将 其 与 原始 的 信息 附加 在 一 起 ， 合 称 为 数字 签名 。 其 使 用 方式 是 : 报 文 的 发 送 方 从 报 
文 文本 中 生成 一 个 128 位 或 160 位 的 单 向 散 列 值 〈 或 报 文摘 要 ) ， 并 用 自己 的 私有 密 钥 对 
这 个 散 列 值 进行 加 密 ， 形 成 发 送 方 的 数字 签名 ; 然后 ， 将 这 个 数字 签名 作为 报 文 的 附件 和 
报 文 一 起 发 送 给 报 文 的 接收 方 ， 报 文 的 接收 方 首 先 从 接收 到 的 原始 报 文中 计算 出 128 位 的 
散 列 值 ( 或 报 文摘 要 ) ， 接 着 再 用 发 送 方 的 公开 密 钥 来 对 报 文 附加 的 数字 签名 进行 解密 ; 
如 果 这 两 个 散 列 值 相同 ， 那 么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 通 过 数字 签名 能 够 
实现 对 原始 报 文 的 鉴别 与 验证 ， 保 证 报 文 的 完整 性 、 权 威 性 和 发 送 者 对 所 发 报 文 的 不 可 抵 
赖 性 。 数 字 签名 机 制 提供 了 一 种 鉴别 方法 ， 普 遍 用 于 银行 、 电 子 贸易 等 ， 以 解决 伪造 、 抵 
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赖 、 冒 充 、 算 改 等 问题 。 

(2) 数字 证 书 

“数字 证 书 ” 是 一 个 经 证 书 认 证 中 心 (CA) 数字 签名 的 、 包 含 证 书 申请 者 (公开 密 钥 
拥有 者 ) 个 人 信息 及 其 公开 密 钥 的 文件 。 基 于 公开 密 钥 体制 (PKI) 的 数字 证 书 是 电子 商务 
安全 体系 的 核心 , 用 途 是 利用 公共 密 钥 加 密 系统 来 保护 与 验证 公众 的 密 钥 。CA 对 申请 者 所 
提供 的 信息 进行 验证 ， 然 后 通过 向 电子 商务 各 参与 方 签发 数字 证 书 ， 来 确认 各 方 的 身份 ， 
保证 网 上 支付 的 安全 性 。 

证 书 的 格式 遵循 X.509 标准 。X.509 证 书包 括 有 关 证 书 拥有 的 个 人 或 实体 的 信息 及 证 
书 颁发 机 构 的 可 选 信 息 。 实 体 信息 包括 实体 名 称 、 公 用 密 钥 、 公 用 密 钥 运算 法 和 可 选 的 唯 
一 主体 id。 目 前 ，X.509 标准 已 在 编排 公共 密 钥 格式 方面 被 广泛 接受 ， 已 用 于 许多 网 络 安 
全 应 用 程序 ， 其 中 包括 卫 安全 (Ipsec) 、 安 全 套 接 层 (SSL) 、 安 全 电子 交易 (SET) 、 
安全 多 媒体 INTERNET 邮件 扩展 S/MIME) 等 。 

(3) 密 钥 管理 机 制 (PKI) 

公 钥 基础 结构 (Public Key Infrastructure， 简 称 PKD 采 用 证 书 管理 公 铀 ， 即 结合 X.509 
标准 中 的 鉴别 框架 (AuthenticationFramework) 来 实现 密 钥 管 理 ， 通 过 CA 把 用 户 的 公 钥 
及 其 他 标识 信息 捆绑 在 一 起 ， 在 INTERNET 上 验证 用 户 的 身份 ， 保 证 网 上 数据 的 保密 性 
和 完整 性 。 

PKIX (PublicKeyInfrastructureonX.509， 简 称 PKIX) 系列 标准 由 IETFPKIX 工作 小 组 
制定 ， 定 义 了 X.509 证 书 在 INTERNET 上 的 使 用 ， 证 书 的 生成 、 发 布 和 获取 ， 各 种 产生 和 
分 发 密 钥 的 机 制 ， 以 及 怎样 实现 这 些 标准 的 轮廓 结构 等 。 


7.6.4 Windows 2000 的 安全 机 制 


1，Windows 2000 中 的 验证 协议 

Windows 2000 中 有 两 种 验证 协议 ， 即 Kerberos 和 公用 密 钥 体 制 (Public Key 
Infrastructure，PKI) 。Kerberos 是 对 称 密 钥 ， 而 PKI 是 非 对 称 密 钥 。 用 的 较 多 的 是 公用 密 
钥 体 制 。 

公用 密 钥 基本 体系 是 一 个 数字 认证 、 证 书 授权 和 其 他 注册 授权 系统 。 使 用 公用 密 钥 密 
码 检验 及 检 证 电子 商务 中 所 涉及 的 每 个 机 构 的 有 效 性 。 公 用 密 钥 基本 体系 的 标准 仍 处 于 发 
展 阶段 ， 尽 管 它们 作为 电子 商务 的 一 个 必要 组 成 部 分 已 得 到 广泛 使 用 。 

Windows 2000 公 钥 基础 结构 的 证 书 基 本 上 是 一 个 由 权威 发 布 的 电子 声明 ,其 作用 在 于 
担保 证 书 持 有 者 的 身份 。 证 书 将 公用 密码 与 持 有 相应 私有 密 钥 的 个 人 、 机 器 或 服务 的 身份 
绑 定 在 一 起 。 证 书 由 各 种 公用 密 钥 安全 服务 和 应 用 程序 提供 ， 为 非 安全 网 〈 如 intemet) 提 
供 数据 验证 、 数 据 完 整 性 和 安全 通信 。 

2. Windows 2000 Server 的 证 书 服务 器 

Windows 2000 Server 中 有 一 个 部 件 是 证 书 服务 器 (Certificate Server) ， 通 过 认证 服务 
器 ,企业 可 以 为 用 户 颁 发 各 种 电子 证 书 ， 比 如 用 于 网 上 购物 的 安全 通道 协议 (SSL) 使 用 的 证 
书 ， 用 于 加 密 本 地 文件 的 证 书 等 等 。 认 证 服务 器 还 管理 证 书 的 失效 ,发 布 失效 证 书 列表 等 。 
每 个 用 户 或 计算 机 都 有 自己 的 一 个 证 书 管理 器 , 其 中 既 放 置 着 自己 从 CA 申请 获得 的 证 书 ， 
也 有 自己 所 信任 的 CA 的 根 证 书 。 
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Windows 2000 基于 证 书 的 过 程 所 使 用 的 标准 证 书 格式 是 X.509v3， 保 证 了 与 其 他 系统 
的 互 操作 性 。 目 前 常用 的 是 SSL〔 安 全 通道 协议 ) 的 方式 ， 即 设置 IIS 就 某 些 特定 的 文件 
或 文件 目录 需要 访问 者 提供 客户 端 证 书 ; 除非 拥有 电子 证 书 及 相应 的 私 钥 ， 一 个 访问 者 的 
浏览 器 无 法 获得 这 些 文件 和 文件 目录 。SSL 的 方式 体现 在 浏览 器 的 访问 栏 上 ， 应 该 是 https 
而 不 是 普通 的 http。 

Windows 2000 server 证 书 服 务 是 Windows 2000 中 的 组 件 ,证 书 服务 用 于 创建 和 管理 证 
书 颁发 机 构 “CA〉。 证 书 颁发 机 构 负 责 建立 和 担保 证 书 持 有 者 的 身份 。 证 书 颁发 机 构 还 会 
在 证 书 失 效 时 ， 将 其 撤销 并 发 布 证 书 撤销 列表 ， 供 证 书 检 验 机 构 使 用 。 最 简单 的 公用 密 钥 
基本 体系 只 有 一 个 证 书 颁发 机 构 。 事 实 上 ， 大 多 数 配 置 公用 密 钥 基 本 体系 的 组 织 使 用 多 个 
证 书 颁发 机 构 ， 并 将 其 有 组 织 地 形成 证 书 分 层 结构 。 

Windows 2000 的 证 书 服务 按 证 书 颁发 机 构 类 型 分 为 : 

(1) 企业 根 CA， 是 企业 中 最 受信 任 的 证 书 颁发 机 构 ， 应 该 在 网 络 上 的 其 他 证 书 颁发 
机 构 之 前 安装 ， 需 要 Active Directory。 

(2) 企业 从 属 CA， 是 标准 证 书 颁发 机 构 可 以 给 企业 中 的 任何 用 户 或 机 器 颁发 证 书 ， 
必须 从 企业 中 的 另 一 个 证 书 颁 发 机 构 获 取证 书 颁 发 机 构 证 书 ， 需 要 Active Directory。 

(3) 独立 根 CA， 是 证 书 颁发 机 构 体 系 中 最 受信 任 的 证 书 颁发 机 构 ， 不 需要 Active 
Directory。 

(4) 独立 从 属 CA， 是 标准 的 证 书 颁发 机 构 可 以 给 任何 用 户 或 机 器 颁发 证 书 ， 必 须 从 
另 一 个 证 书 颁 发 机 构 获 取证 书 颁发 机 构 证 书 ， 不 需要 Active Directory。 

3. 智能 卡 支持 

在 Windows 2000 中 , 微软 为 用 户 还 提供 了 一 套 智 能 卡 的 结构 。 智 能 卡 因 其 高 安全 性 和 
轻便 的 可 移动 性 ， 势 必 将 发 展 成 为 类 似 鼠 标 /键盘 一 般 计 算 机 的 标准 外 设 。 

当 用 户 用 Intemet Explorer 向 一 个 认证 中 心 申请 电子 证 书 时 , 就 会 有 一 对 公 钥 和 私 钥 自 
动产 生出 来 ;: 私 钥 可 以 存储 在 智能 卡 中 ， 公 钥 和 其 他 身份 信息 (比如 姓名 、 电 子 邮 件 地 址 
等 ) 发 给 认证 中 心 。 如 果 认证 中 心 批准 该 申请 ， 那 么 包含 公 钥 的 电子 证 书 就 会 被 返回 来 ， 
存储 在 智能 卡 中 。 

智能 卡 存储 私 钥 和 电子 证 书 的 做 法 , 给 最 终 用 户 提供 了 对 自己 安全 信息 的 最 大 的 控制 ， 
可 以 方便 地 从 一 台 机 器 携带 到 另 一 台 机 器 使 用 ， 可 以 在 任何 一 个 地 点 使 用 。 一 般 来 说 ， 智 
能 卡 还 会 用 一 个 个 人 密码 (Pin) 保 护 起 来 , 在 要 求 高 安全 性 的 场合 ,Pin 可 以 是 一 些 生 物 信 息 ， 
比如 指纹 等 。 

7.6.5 ”Windows 2000 下 建立 CA 中 心 的 具体 操作 过 程 

证 书 服务 的 一 个 单独 组 件 是 证 书 颁 发 机 构 的 Web 注册 页 。 这 些 网 页 是 在 安装 证 书 颁发 
机 构 时 默认 安装 的 ， 它 允许 证 书 请 求 者 使 用 Web 浏览 器 提出 证 书 请 求 。 此 外 ， 证 书 颁 发 机 
构 网 页 可 以 安装 在 未 安装 证 书 颁发 机 构 的 Windows 2000 服务 器 上 , 在 这 种 情况 下 , 网 页 用 
于 向 不 希望 直接 访问 证 书 颁发 机 构 的 用 户 服 务 。 如 果 选 择 为 组 织 创建 定制 网 页 访问 CA, 则 
Windows 2000 提供 的 网 页 可 作为 示例 。 现 在 我 们 以 安装 独立 根 证 书 为 例 ， 安 装 其 他 类 型 的 
相 类 似 ， 只 是 选择 其 他 证 书 的 类 型 即 可 。 要 注意 的 是 企业 根 CA 和 企业 从 属 CA 需要 
ActiveDirectory。 


TS 
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1. 安装 独立 的 根 证书 颁 发 机 构 

(1) 以 管理 员 身 份 登录 到 系统 。 或 者 ， 如 果 您 装 有 ActiveDirectory， 则 以 域 管理 员 身 
份 登录 到 系统 。 

(2) 选择 “开始 ” |“ 设置 ”|“ 控 制 面板 ”命令 ， 在 出 现 的 “控制 面板 ”窗口 中 ， 双 
击 “ 添 加 /删除 程序 ”， 如 图 7-33 所 示 。 

(3) 单 击 “ 添 加 /删除 Windows 组 件 ”， 出 现 “Windows 组 件 向 导 ” 对 话 框 ， 如 图 7-34 


图 7-33 ”添加 /删除 组 件 窗口 图 7-34 “Windows 组 件 向 导 ” 对 话 框 
(4) 在 “Windows 组 件 向 导 ” 对 话 框 中 ， 选 中 “证 书 服务 ” 复 选 框 。 屏 幕 上 将 出 现 
一 个 对 话 框 ， 通 知 您 计算 机 在 安装 证 书 服务 之 后 不 能 更 名 且 不 能 加 入 域 或 从 域 中 删除 ， 
如 图 7-35 所 示 。 


图 7-35 ”提示 对 话 框 
(5) 单 击 “ 是 ”按钮 ， 然 后 单 击 “Windows 组 件 向 导 ” 对 话 框 的 “下 一 步 ” 按 钮 ， 出 
现 如 图 7-36 所 示 。 
(6) 选择 “独立 根 CA” 单 选 框 ， 选 择 “ 高 级 选项 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 
出 现 如 图 7-37 所 示 。 


Eh 


图 7-36 证书 颁 发 机 构 类 型 选择 图 7-37 加 密 提供 程序 选择 
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(7) 保持 窗口 默认 设置 , 单 击 “ 下 一 步 ” 按 钮 , 出 现 CA 标识 信息 设置 窗口 , 如 图 7-38 
所 示 。 

(8) 设置 CA 标识 信息 ， 完 成 后 单 击 “ 下 一 步 ” 按 钮 ， 出 现 数据 存储 位 置 设置 窗口 ， 
如 图 7-39 所 示 。 


CTETTHE 
Ch 标识 入 息 图 数 拓 并 位 轩 图 
多 入 标识 ch 的 信息 指定 信 存 配 生 数据、 数据库 和 日 志 的 这 图 
名 称 内: :i 证 书 数据 库 C): 
FRR 一 [mmr sr td CET 
和 2 [gs -am 训 贤 
ee 局 ET 四 . 
省 或 目 6 区 加): [ml [了 
电子 邮件 双 ); Jesse ER 
二 至 Pocmne EE 
NER OD: | 太保 久 肥 有 的 证 书 灿 和 库 攻 ) 
| mm | 
图 7-38 设置 CA 标识 信息 图 7-39 数据 存储 位 置 设置 窗口 


(9) 开始 进行 CA 安装 ， 通 常 需要 操作 系统 的 安装 盘 ， 完 成 后 出 现 提示 对 话 框 ， 如 图 
7-40 所 示 。 

2. 设置 安全 性 以 访问 证 书 颁发 机 构 Web 页 

(1) 以 管理 员 身份 登录 到 系统 。 

(2) 选择 “开始 ”|“ 程 序 ”|“ 管 理工 具 ”|“Intemet 服务 管理 器 ”命令 ， 出 现 “IIS 
信息 服务 ”窗口 ， 如 图 7-41 所 示 。 


dnetpublecriots 

dwinrt nelplichep 
WINNTIEyeenazWnetoviieaamn 
delpipWiesanpies 

derogam Hiesommon lesisrsemimeatc 
DAWWINrWettprntels 


完成 “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 “Windows 站 件 向 时”。 


请 捍 击 “完成 ” 采 基 闭 此 疝 导 。 


回国 vml 
本 看 管理 we 尖 点 
后 各 睦 认 SMIP 民 入 时 和 器 


图 7-40 完成 安装 提示 对 话 框 图 7-41 Internet 信息 服务 

(3) 在 “Intemet 信息 服务 ”窗口 中 ， 在 窗口 左边 选择 “默认 Web 站 点 ”| CertSrv， 
右 击 CertSrv 项 ， 在 弹出 菜单 中 选择 “属性 ”， 如 图 7-42 所 示 。 

(4) 选择 “目录 安全 性 ”选项 卡 ， 在 “匿名 访问 和 验证 控制 ”组 合 框 中 ， 单 击 “ 编 辑 ” 
按钮 ， 出 现 验 证 方法 设置 对 话 框 ， 如 图 7-43 所 示 。 

(5) 清除 “集成 Windows 验证 ”之 外 的 其 他 所 有 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 完 成 
设置 。 

(6) 在 “Intemet 信息 服务 ”窗口 左边 ， 右 击 “ 默 认 Web 站 点 ”， 在 弹出 菜单 中 选择 
“属性 ”命令 ， 出 现 如 图 7-44 所 示 。 
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图 7-42 CertSrv 属性 对 话 框 图 7-43 ”验证 方法 设置 窗口 
(7) 在 “IP 地 址 ”文本 框 中 输入 计算 机 的 IP 地 址 ， 然 后 选择 “文档 ”选项 卡 ， 将 
Default.asp 设置 为 第 一 个 文档 ， 然 后 单 击 “确定 ”按钮 。 
(8) 在 正 地 址 栏 中 输入 “http:// 设 置 的 他 /CertSrv”， 出 现 Microsoft 证 书 服务 窗口 ， 
如 图 7-45 所 示 。 


图 7-44 默认 Web 站 点 属性 图 7-45 证书 服务 窗口 


7.7 ”电子 政务 安全 


电子 政务 是 政府 机 构 运用 现代 信息 与 通信 技术 ， 将 管理 与 服务 通过 信息 化 集成 ， 在 网 
络 上 实现 政府 组 织 结构 和 工作 流程 的 优化 重组 ， 超 越 时 间 、 空 间 与 部 门 分 割 的 限制 ， 全 方 
位 地 向 社会 提供 高 效 、 优 质 、 规 范 、 透 明 的 管理 与 服务 。 电 子 政务 作为 当代 信息 化 最 重要 
的 领域 之 一 ， 已 经 成 为 全 球 关注 的 焦点 ， 是 我 国 现代 化 进程 中 不 可 缺少 的 一 环 ， 也 是 我 们 
全 面 提升 政府 机 构 管理 与 服务 水 平 的 重要 技术 手段 。 

电子 政务 的 安全 问题 倍 受 人 们 关注 ， 安 全 性 问题 是 电子 政务 的 首要 问题 ， 各 国政 府 都 
在 开展 这 方面 的 研究 。 在 电子 政务 系统 的 技术 选择 过 程 中 ， 应 该 首先 考虑 政务 信息 的 安全 
问题 。 电 子 政务 系统 是 供 政府 和 公民 使 用 的 信息 交流 平台 ， 在 这 之 上 流动 的 有 可 供 公 用 的 
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信息 ， 还 有 的 是 需要 保密 的 非 公 开 信 息 。 即 使 说 一 个 电子 政务 网 络 可 以 提供 强大 的 功能 ， 
可 以 解决 大 部 分 电子 政府 信息 交互 的 问题 ， 但 其 本 身 使 用 不 是 本 国 的 软件 、 硬 件 ， 而 这 些 
软件 、 硬 件 使 用 的 技术 不 是 本 国 所 掌握 的 或 者 说 这 些 软 硬件 并 不 能 保证 电子 政府 免 受 病毒 
侵害 、 黑 客 攻 击 ， 那 么 ， 何 谈 电子 政务 的 安全 性 ， 稳 定性 。 这 样 一 来 ， 我 们 的 很 多 政务 信 
息 就 不 只 是 “公之于众 ”了 ， 而 且 将 会 是 “大 白 于 天 下 ”了 ! 

1. 电子 政务 安全 的 威胁 

电子 政务 安全 是 一 个 复杂 的 系统 工程 。 仅 从 安全 威胁 的 来 源 来 看 ， 可 以 分 为 内 、 外 两 
部 分 。 所 谓 “ 内 ”， 是 指 政府 机 关内 部 ; 而 “外 ”， 则 是 指 社会 环境 。 来 自 于 外 部 的 威胁 
有 病毒 传染 、 黑 客 攻 击 、 信 息 间谍 、 信 息 恐 怖 活动 、 信 息 战 争 、 自 然 灾害 等 ， 而 来 自 内 部 
的 威胁 则 包括 内 部 人 员 恶 意 破坏 、 管 理 人 员 滥 用 职权 、 执 行人 员 操作 不 当 、 内 部 管理 疏漏 、 
软 硬 件 缺陷 等 。 

一 般 说 来 电子 政务 安全 中 普遍 存在 着 以 下 几 种 安全 隐患 。 

(1) 窃取 信息 

由 于 未 采用 加 密 措施 ， 调 制 解 调 器 之 间 的 信息 以 明文 形式 传送 ， 入 侵 者 使 用 相同 的 调 
制 解 调 器 就 可 以 截获 传送 的 信息 。 同 时 ， 政 府 机 关内 部 人 员 更 是 可 以 十 分 轻松 地 将 一 些 机 
要 信息 泄露 出 去 ， 此 谓 “ 监 守 自 盗 ”。 

(2) 自 改 信息 

当 入 侵 者 掌握 了 信息 的 格式 和 规律 之 后 ， 通 过 各 种 方式 ， 在 原 网 络 的 调制 解 调 器 之 间 
增加 两 个 相同 类 型 的 调制 解 调 器 ， 将 通过 的 数据 在 中 间 修 改 ， 然 后 发 向 另 一 端 。 这 便 严 重 
破坏 了 原 信 息 的 完整 性 与 有 效 性 。 

(3) 冒名 顶替 

由 于 掌握 了 数据 的 格式 ， 并 可 以 算 改 通过 的 信息 ， 攻 击 者 可 以 冒充 合法 用 户 及 送 假 冒 
的 信息 或 者 主动 获取 信息 ， 而 远 端 用 户 通常 很 难 分 辨 。 同 时 ， 由 于 内 部 权限 分 配 不 明 或 者 
滥用 他 人 名 义 实施 违法 活动 ， 极 有 可 能 造成 “栽赃 嫁 祸 ”。 

(4) 恶意 破坏 

由 于 攻击 者 可 以 接 入 网 络 ， 则 可 能 对 网 络 中 的 信息 进行 修改 ， 掌 握 网 上 的 机 要 信息 ， 
甚至 可 以 潜入 两 边 的 网 络 内 部 ， 其 后 果 是 非常 严重 的 。 如 果 政 府内 部 人 员 与 外 部 不 法 分 子 
勾结 或 由 于 发 汇 私 愤 ， 从 而 破坏 重要 信息 的 数据 库 或 其 他 软 硬 件 ， 后 果 更 是 不 堪 设 想 。 

(5) 失误 操作 

由 于 缺乏 明确 的 操作 规程 和 必要 的 备份 措施 ， 加 之 部 分 工作 人 员 的 安全 意识 不 强 和 安 
全 技术 有 限 ， 一 旦 出 现 失误 操作 ， 重 要 的 信息 将 无 法 恢复 。 

2. 电子 政务 安全 的 需求 

安全 的 电子 政务 应 该 实现 五 项 性 能 ， 即 有 效 性 、 保 密 性 、 完 整 性 、 可 鉴别 性 和 可 监控 / 
审查 性 。 

(1) 有 效 性 

电子 政务 作为 政务 的 一 种 形式 ， 其 信息 的 有 效 性 将 直接 关系 到 国家 、 企 业 、 个 人 的 政 
治 利益 、 经 济 利益 和 声誉 。 试 想 ， 如 果 政 府 的 灾情 、 疫 情 电子 公告 出 现 差错 ， 那 么 ， 极 有 
可 能 引发 社会 动荡 。 因 此 ， 要 对 网 络 故障 、 操 作 错 误 、 应 用 程序 错误 、 硬 件 故障 、 系 统 软 
件 错误 及 计算 机 病毒 所 产生 的 潜在 威胁 加 以 控制 和 预防 ， 以 保证 政务 信息 在 确定 的 时 刻 、 
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确定 的 地 点 都 是 有 效 的 。 

(2) 机 密 性 

电子 政务 的 信息 直接 代表 着 国家 和 企业 的 机 密 。 例 如 ， 很 多 对 外 贸易 企业 的 网 上 “ 报 
关 ”， 所 传输 的 信息 都 是 企业 的 商业 秘密 ， 必 须 保证 其 机 密 性 。 然 而 ， 电 子 政务 是 建立 在 
一 个 较为 开放 的 网 络 环 境 上 的 (尤其 Intemet 是 更 为 开放 的 网 络 ) ， 维 护 机 密 是 电子 政务 全 
面 推广 应 用 的 重要 保障 。 因 此 ， 要 预防 非法 的 信息 存 取 和 信息 在 传输 过 程 中 被 非法 窃取 。 

(3) 完整 性 

电子 政务 简化 了 政务 过 程 ， 减 少 了 人 为 的 干预 ， 同 时 也 带 来 维护 政务 信息 的 完整 、 统 
一 的 问题 ， 保 持 政务 信息 的 完整 性 是 电子 政务 应 用 的 基础 。 比 如 统计 部 门 网 上 采集 关系 国 
计 民 生 的 数据 ， 如 果 其 完整 性 得 不 到 保证 ， 信 息 出 现 差错 ， 那 么 ， 将 最 终 影响 政府 做 出 正 
确 的 决策 ， 其 严重 性 可 想 而 知 。 因 此 ， 要 预防 对 信息 的 随意 生成 、 修 改 和 删除 ， 同 时 要 防 
止 数据 传送 过 程 中 信息 的 丢失 和 重复 并 保证 信息 传送 次 序 的 统一 。 

(4) 可 鉴别 性 

电子 政务 直接 关系 企业 和 个 人 的 利益 ， 如 何 确定 网 上 管理 的 行政 对 象 正 是 所 期 望 的 
管理 对 象 这 一 问题 则 是 保证 电子 政务 顺利 进行 的 关键 。 像 税务 系统 正在 实施 的 “ 金 税 工 
程 ”， 如 何 确 定 纳税 人 的 身份 ， 如 何 确保 企业 不 对 网 上 下 达 的 催 税 通知 加 以 抵赖 ， 都 是 
十 分 重要 的 问题 。 因 此 ， 要 在 交易 信息 的 传输 过 程 中 为 参与 政务 的 个 人 、 企 业 或 国家 提 
供 可 靠 的 标识 。 

(5) 可 监控 /审查 性 

根据 机 密 性 和 完整 性 的 要 求 ， 应 对 数据 审查 的 结果 进行 记录 。 同 时 ， 国 家 正 实施 为 了 
实现 审计 工作 数字 化 的 “人 金 审 工程 ”， 更 是 需要 各 政府 机 关 把 网 上 的 政务 信息 加 以 保留 
已 备 审计 。 

3. 电子 政务 安全 的 对 策 

根据 国家 信息 化 领导 小 组 提出 的 “坚持 积极 防御 、 综 合 防范 ”的 方针 ， 可 以 从 如 下 
三 方面 解决 好 我 国电 子 政务 的 安全 问题 ， 即 “一 个 基础 〈 法 律 制度 ) ， 两 根 支柱 〈 技 术 ， 
管理 ) ”。 

信息 安全 要 靠 技术 ， 更 要 靠 管理 ， 要 把 技术 和 管理 相 结合 ， 要 以 人 为 本 ， 提 高 安全 意 
识 ， 才 能 增强 信息 安全 的 保障 。 当 然 ， 所 有 这 些 都 必须 建立 在 国家 各 种 法 律 制度 的 基础 之 
上 ， 才 会 得 到 切实 的 保障 ， 如 图 7-46 所 示 。 


图 7-46 电子 政务 安全 对 策 
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4. 网 络 安全 技术 

一 个 全 方位 的 计算 机 网 络 安全 体系 结构 包含 网 络 的 物理 安全 、 访 问 控制 安全 、 系 统 安 
全 、 用 户 安全 、 信 息 加 密 、 安 全 传输 和 管理 安全 等 。 充 分 利用 各 种 先进 的 主机 安全 技术 、 
访问 控制 技术 、 防 火 墙 技术 、 安 全 审计 技术 、 安 全 管理 技术 、 系 统 漏洞 检测 技术 、 黑 客 跟 
踪 技 术 ， 在 攻击 者 和 受 保护 的 资源 间 建 立 多 道 严密 的 安全 防线 ， 极 大 地 增加 了 恶意 攻击 的 
难度 ， 并 增加 了 审核 信息 的 数量 ， 利 用 这 些 审核 信息 可 以 跟踪 入 侵 者 。 

在 实施 网 络 安全 防范 措施 时 ， 要 做 到 以 下 几 点 。 

(1) 首先 要 加 强 主机 本 身 的 安全 , 做 好 安全 配置 ， 及 时 安装 安全 补丁 程序 , 减少 漏洞 ; 

(2) 其 次 要 用 各 种 系统 漏洞 检测 软件 定期 对 网 络 系统 进行 扫描 分 析 ， 找 出 隐患 ， 及 时 
修补 ; 

(3) 建立 完善 的 访问 控制 措施 ， 安 装 防火 墙 ， 加 强 授 权 管 理 和 认证 ; 

(4) 安装 防 病毒 软件 ， 加 强 内 部 网 的 整体 防 病毒 措施 ; 

(5) 对 敏感 的 设备 和 数据 要 建立 必要 的 物理 或 逻辑 隔离 措施 ; 

(6) 利用 数据 存储 技术 加 强 数据 备份 和 恢复 措施 ; 

(7) 建立 详细 的 安全 审计 日 志 ， 以 便 检 测 并 跟踪 入 侵 攻击 等 。 

5. 政务 安全 技术 

我 们 区 别 地 借鉴 电子 商务 在 此 方面 的 成 功 经 验 。 

(1) 加 密 技 术 

加 密 技术 是 一 种 主动 的 信息 安全 防范 措施 , 可 根据 需要 在 信息 交换 的 阶段 使 用 。 目前 
加 密 技术 分 为 两 类 ， 即 对 称 加 密 和 非 对称 加 密 。 它 可 以 解决 诸如 信息 的 算 改 、 假 冒 等 问题 。 

(2) 数字 签名 

通过 数字 签名 能 够 实现 对 原始 报 文 的 鉴别 和 不 可 抵赖 性 。ISO/IEC JTC1 已 在 起 草 有 关 
的 国际 标准 规范 。 该 标准 的 初步 题目 是 “信息 技术 安全 技术 带 附件 的 数字 签名 方案 ”， 它 
由 概述 和 基于 身份 的 机 制 两 部 分 构成 。 

(3) 认证 机 构 (CA) 

目前 ， 全 方位 税收 电子 化 系统 的 “ 金 税 工程 ”、 完 整 的 通关 业务 电子 化 的 “ 金 关 工程 ” 
等 ， 都 需要 实现 网 上 安全 支付 。 因 此 ， 建 立 安全 的 认证 体系 (CA) 也 是 电子 政务 的 中 心 环 
节 ， 建 立 CA 的 目的 是 加 强 电子 证 书 和 密 钥 的 管理 工作 ， 控 制 交易 的 风险 ， 从 而 推动 电子 
政务 的 发 展 。 与 电子 商务 CA 的 情形 不 同 ， 由 于 电子 政务 的 一 方 是 政府 机 构 ， 其 本 身 就 是 
天 然 的 值得 信赖 的 CA。 

(4) 安全 认证 协议 

SSL 〈 安 全 槽 层 ) 协议 是 由 Netscape 公司 研究 制定 的 安全 协议 ， 该 协议 向 基于 TCP/IP 
的 客户 /服务 器 应 用 程序 提供 了 客户 端 和 服务 器 的 鉴别 、 数 据 完 整 性 及 信息 机 密 性 等 安全 措 
施 。 该 协议 通过 在 应 用 程序 进行 数据 交换 前 交换 SSL 初始 握手 信息 来 实现 有 关 安 全 特性 的 
审查 。 该 协议 已 成 为 事实 上 的 工业 标准 ， 并 被 广泛 应 用 于 Intemet 和 Intranet 的 服务 器 产品 
和 客户 端 产 品 中 。 

SET 向 基于 信用 卡 进 行 电子 化 交易 的 应 用 提供 了 实现 安全 措施 的 规则 。 它 是 由 Visa 国 
际 组 织 和 万 事 达 组 织 共 同 制定 的 一 个 能 保证 通过 开放 网 络 (包括 Intemet) 进行 安全 资金 支 
付 的 技术 标准 。SET 1.0 版 已 经 公布 并 可 应 用 于 任何 银行 支付 服务 。 
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6. 安全 管理 方面 

在 电子 政务 的 安全 建设 中 ， 管 理 的 作用 至 关 重 要 。 网 络 提供 多 种 便捷 的 应 用 ， 帮 助 我 
们 提高 工作 的 效率 ， 而 同时 因为 许多 管理 上 的 原因 ， 使 我 们 的 网 络 不 安全 、 不 稳定 ， 特 别 
是 在 电子 政务 建设 过 程 中 网 络 的 安全 问题 ， 由 于 政府 工作 人 员 对 信息 网 络 安 全 方面 警惕 性 
不 高 ， 这 样 就 导致 了 效率 的 低下 ， 浪 费 了 投资 ， 严 重 时 会 引起 泄密 事件 。 

(1) 管理 对 象 

重点 在 于 人 和 策略 的 管理 ， 人 是 一 切 策略 的 最 终 执行 者 。 

(2) 管理 内 容 

@ 核心 业务 层 与 外 网 隔离 

党 政 军 内 部 网 络 是 我 国信 息 网 络 的 重要 组 成 部 分 , 按照 2002 年 发 过 的 17 号 文件 精神 ， 
国务 院 办 公 厅 把 信息 网 络 分 为 内 网 ( 涉 密 网 )、 外 网 ( 非 涉 密 网 ) 和 因特网 三 类 ,而 且 明 确 内 网 
和 外 网 要 物理 隔离 。 但 从 近 几 年 部 分 单位 安全 检查 遇 到 的 案例 来 看 ， 有 的 不 遵守 安全 保密 
规定 ， 将 内 网 直接 或 间接 地 与 因特网 连接 ， 这 些 问题 的 存在 直接 带 来 了 安全 威胁 。 

@ 政务 系统 中 权限 的 控制 

电子 政务 需要 划分 成 若干 个 安全 域 ， 不 同 的 安全 域 中 ， 安 全 的 要 求 、 级 别 是 不 一 样 的 ， 
因此 需要 把 使 用 不 同 级 别 政务 信息 资源 的 用 户 划 分 成 不 同类 型 ， 实 现 不 同类 型 人 员 对 不 同 
级 别 信 息 访问 的 控制 策略 。 

@ 系统 的 安全 备份 与 恢复 机 制 

鉴于 政务 信息 的 重要 性 和 特殊 性 ， 建 立 必 要 的 备份 制度 和 有 效 的 系统 和 数据 恢复 机 制 
是 保障 电子 政务 安全 的 基本 需求 。 

@ 定期 检测 和 审计 机 制 

对 于 电子 政务 系统 运行 中 的 漏洞 以 及 工作 人 员 在 执行 安全 策略 方面 的 疏忽 必须 加 以 监 
控 并 且 及 时 纠正 。 

@ 信息 发 布 严 格 合理 审查 机 制 

政府 信息 化 的 要 求 之 一 就 是 利用 互联 网 络 做 强 有 力 的 宣传 ， 同 时 从 安全 的 角度 ， 还 需 
要 防止 敌对 力量 通过 网 络 系统 散布 不 满 情 绪 、 制 造 流言 、 做 颠覆 性 的 宣传 等 不 利于 政治 与 
社会 稳定 的 行为 。 因 此 ， 需 要 对 发 布 的 信息 进行 必要 的 审查 ， 尤 其 是 要 看 管 好 BBS 系统 。 

@ 废旧 信息 存储 介质 的 处 理 

有 关 专 家 特别 要 强调 利用 废旧 磁 媒 体 获 取信 息 的 问题 。 旧 的 计算 机 、 旧 的 磁盘 、 磁 带 、 
光盘 等 ， 往 往 存储 过 涉 密 信 息 ， 有 的 国家 可 以 从 消 过 磁 的 介质 中 恢复 曾经 存储 过 的 信息 ， 
情报 机 关 就 利用 收集 废旧 物品 的 机 会 专门 搜集 废旧 磁 媒 体 ， 从 中 获取 情报 。 因 此 对 废旧 磁 
媒体 要 特别 加 强 管 理 。 

(3) 管理 步骤 

Q@ 事前 明确 要 求 

@ 事 中 严格 监督 

@ 事后 严肃 惩处 

7. 安全 法 律 方面 

(1) 现 有 部 分 计算 机 网 络 管制 法 : 

中 《中 华人 民 共 和 国保 守 国 家 秘密 法 》 第 三 章 
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@@《 计 算 机 病毒 控制 规定 》 

@@《 计 算 机 软件 保护 条 例 》 

@@《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 

图 《中 华人 民 共和 国 计 算 机 网 络 国际 联网 管理 暂行 规定 》 

@《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 细则 》 

(2) 现 有 部 分 主要 行政 法 : 

@《 中 华人 民 共 和 国 行政 许可 法 》 

@@《 中 华人 民 共 和 国 行政 诉讼 法 》 

@《 中 华人 民 共 和 国 行政 复议 法 》 

@《 中 华人 民 共 和 国 行政 处 罚 法 》 

@《 中 华人 民 共 和 国 行政 监察 法 》 

(3) 有 关 部 委 制 定 的 规章 制度 ， 比 如 《国土 资源 管理 系统 行政 为 民 措 施 》 和 《国土 资 
源 管 理 系统 工作 人 员 禁 令 》 都 是 比较 有 效 的 保障 网 上 政务 安全 运行 的 成 功 典范 。 

(4) 电子 政务 的 安全 实施 和 保障 ， 应 以 国家 法 规 形式 将 其 固化 ， 成 为 电子 政务 实施 和 
运行 的 行为 准则 ， 成 为 电子 政务 国际 交往 的 重要 依据 。 因 此 ， 制 订 政务 信息 公开 法 ， 适 度 
的 解密 和 规范 开放 的 规则 ， 保 护 政府 部 门 间 信息 的 正常 交流 。 建 立 电子 签 章 ( 含 数 字 签名 
和 电子 印章 ) 和 电子 文档 的 立法 保护 。 加 快 个 人 数据 保护 法 的 制订 是 必要 的 。 

8. 电子 政务 安全 的 特别 注意 问题 

(1) 电子 政务 产品 的 自主 开发 性 

由 于 电子 政务 的 国家 涉 密 性 ， 电 子 政务 系统 工程 的 安全 保障 需要 各 种 有 自主 知识 产权 
的 信息 安全 技术 和 产品 , 全 面 推动 自主 研发 和 创新 这 些 技术 与 产品 是 电子 政务 安全 的 需要 。 

电子 政务 安全 涉及 信息 安全 产品 的 全 局 配套 和 科学 的 布置 ， 产 品 选择 应 考虑 产品 的 自 
主权 和 自控 权 。 产 品 涉及 到 安全 的 操作 系统 、 安 全 的 硬件 平台 、 安 全 的 数据 库 、 强 认证 设 
施 等 。 

(2) 政务 公开 与 信息 安全 “ 度 ” 的 把 握 

在 加 强 信息 公开 的 同时 ， 不 能 忽视 信息 安全 。 信 息 安全 是 中 央 反 复 强 调 的 非常 重要 的 
问题 。 电 子 政务 建设 涉及 政务 管理 的 核心 业务 ， 涉 及 国计民生 和 国家 安全 。 因 此 ， 我 们 要 
增强 安全 意识 , 严格 执行 国家 和 部 颁布 的 安全 和 保密 规定 ， 建 立 严 格 的 信息 公开 审查 制度 。 
同时 ， 要 采取 切实 的 技术 手段 ， 积 极 防御 各 类 黑客 行为 、 计 算 机 病毒 等 对 电子 政务 系统 所 
构成 的 威胁 。 也 就 是 说 ， 要 以 辩证 的 眼光 看 待 信息 公开 和 安全 问题 ， 正 确 处 理 好 两 者 之 间 
的 关系 ， 既 不 能 为 了 公开 而 忽视 安全 ， 也 不 能 将 安全 问题 绝对 化 ， 阻 碍 信息 公开 和 应 用 发 
展 。 要 通过 制度 建设 ， 形 成 安全 与 应 用 相互 促进 的 良性 发 展 机 制 。 

(3) 强化 安全 观念 的 宣传 ， 重 视 工 作 人 员 的 培训 与 教育 

安全 产品 的 配置 虽然 可 以 降低 安全 风险 ， 但 不 能 完全 消除 安全 风险 。 安 全 产品 靠 人 来 
操作 、 使 用 、 管 理 ， 人 员 的 安全 意识 、 安 全 素质 显得 十 分 重要 。 必 须 加 强 信息 安全 人 才 队 
伍 的 建设 ， 提 高 工作 人 员 信 息 安 全 的 意识 ， 从 而 使 各 种 安全 策略 和 措施 得 以 切实 的 实现 。 

无 论 任何 形式 的 政务 ， 安 全 都 是 最 基本 的 要 求 。 如 果 连 安全 都 没有 保证 ， 再 先进 的 技 
术 ， 再 方便 的 功能 ， 人 们 也 只 能 敬而远之 。 只 有 切实 做 好 安全 工作 ， 解 决 好 安全 问题 ， 才 
能 真正 做 到 “一 网 管 天 下 ”， 电 子 政务 时 代 才 会 真正 到 来 ! 
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9. 电子 政务 安全 应 用 整体 解决 方案 

整体 解决 方案 以 实现 电子 政务 建设 目标 和 满足 客户 业务 需求 为 导向 ， 以 信息 安全 保障 

为 基础 ， 在 统一 的 安全 电子 政务 平台 、 国 家 电子 政务 标准 、 信 息 技术 国际 主流 技术 标准 和 

电子 政务 业务 经 验 积累 的 基础 之 上 构建 。 如 图 7-47 所 示 。 平 台 采 用 先进 的 技术 路 线 和 成 熟 
的 技术 架构 ， 有 着 鲜明 的 特色 和 广泛 的 应 用 。 

电子 政务 建设 目标 统一 的 安全 电子 政务 平台 


本 > 区 
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图 7-47 电子 政务 统一 安全 平台 


(1) 技术 体系 

@ 支持 多 层 应 用 体系 结构 ， 客 户 端 应 用 和 浏览 器 应 用 相 结 合 与 服务 器 进行 交互 。 

@ 支持 DPEE，.Net 等 应 用 技术 架构 ， 支 持 EJB，CORBA，COM+ 等 组 件 技术 。 

@ 支持 使 用 XML (XMLSechma，XSLT，XForm) 进行 数据 交换 、 数 据 验 证 、 元 数 
据 的 存储 等 。 

@ 支持 面向 服务 的 应 用 架构 (SOA) ， 支 持 SOAP，WSDL，UDDI。 

回 支持 基于 PKI 的 信任 服务 体系 和 基于 PMI 的 授权 服务 体系 , 支持 单 点 登录 (SSO)、 
数字 签名 和 数据 加 密 。 

@ 能 够 支持 系统 应 用 集成 。 

如 图 7-48 和 图 7-49 所 示 。 


个 世人 化 和 建制 
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图 7-48 ”电子 政务 技术 架构 
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系统 应 用 集成 


图 7-49 ”电子 政务 系统 应 用 集成 


(2) 方案 特色 

@ 方案 的 产品 平台 提供 通用 的 组 件 支持 , 能 够 减少 重复 开发 工作 , 保证 产品 和 项 目的 
质量 ， 缩 短 应 用 系统 的 开发 周期 ， 有 利于 系统 的 扩展 。 

@ 方案 充分 考虑 了 各 种 业务 需求 有 机 结合 ， 既 能 实现 通用 的 办 公 业 务 功 能 ， 又 能 满足 
特定 的 行业 业务 应 用 ， 还 可 以 完成 内 外 网 的 数据 交换 、 信 息 共享 、 数 据 挖掘 等 功能 。 

@ 方案 中 信息 安全 与 电子 政务 业务 应 用 的 紧密 结合 , 充分 利用 基于 PKI 的 信任 服务 体 
系 和 密码 安全 服务 平台 ， 保 证 业务 数据 和 业务 流程 的 安全 。 

@ 结合 多 年 的 电子 政务 领域 和 信息 安全 领域 的 经 验 , 我 们 还 可 以 在 为 客户 提供 解决 方 
案 的 同时 ， 提 供 有 关 电 子 政务 业务 管理 和 安全 保障 体系 的 有 益 建议 。 

@ 方案 和 产品 的 架构 紧密 跟踪 国家 电子 政务 标准 和 国际 主流 技术 标准 , 开放 性 好 , 便 
于 系统 的 升级 维护 ， 以 及 与 各 种 政务 信息 系统 进行 集成 。 

@ 结合 我 们 成 熟 的 方案 、 稳 定 的 产品 和 丰富 的 经 验 , 我 们 可 以 为 党 政 机 关 客 户 进行 信 
息 化 规划 和 信息 技术 咨询 ， 帮 助 客 户 集成 现 有 的 各 种 系统 。 


习题 


简 述 互联 网 企业 应 用 包括 哪些 内 容 。 
简 述 互联 网 政府 应 用 包括 哪些 内 容 。 
理解 互联 网 面临 哪些 安全 威胁 。 

简 述 电子 商务 安全 包括 哪些 内 容 。 
简 述 电子 政务 包括 哪些 内 容 。 


上 mm 一 
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教学 提示 

在 企业 内 建立 一 个 统一 规划 、 合 理 布局 、 协 调 发 展 、 安 全 畅通 的 、 具 有 高 度 安全 的 信 
息 网 络 ， 在 此 基础 上 ， 以 应 用 系统 的 建设 和 整合 为 主轴 ， 通 过 不 断 的 努力 ， 建 成 一 套 安全 、 
实用 、 可 扩展 的 网 络 系统 ， 建 设 各 项 信息 基础 设施 实现 企业 各 级 领导 、 各 部 门 之 间 的 电子 
公文 交换 、 秘 密 文件 传输 、 信 息 资源 共享 、 业 务 数据 访问 处 理 等 广泛 的 信息 应 用 ， 更 好 地 
为 各 级 领导 和 各 部 门 提供 办 公 、 决 策 和 信息 服务 ， 是 企业 信息 化 的 必然 要 求 。 

网 络 信息 安全 问题 是 一 个 系统 的 、 复 杂 的 、 长 期 的 问题 ， 有 效 解决 网 络 信息 安全 问题 
开始 于 合理 的 网 络 安全 规划 。 网 络 安全 规划 包括 网 络 安全 现状 分 析 、 体 系 框架 结构 、 体 系 
层次 、 设 计 原 则 、 网 络 安全 攻击 、 安 全 机 制 、 安 全 技术 、 安 全 措施 、 安 全 服务 等 。 

通过 对 本 章 的 学 习 ， 应 当 充分 掌握 网 络 信息 安全 规划 的 相关 内 容 ， 能 够 针对 具体 的 计 
算 机 网 络 提出 适当 的 安全 规划 ， 全 面 分 析 计 算 机 网 络 所 面临 的 各 种 安全 问题 ， 并 根据 这 些 
安全 问题 提出 合理 、 有 效 的 解决 方案 。 
教学 重点 

@ 网 络 安全 现状 分 析 和 需求 分 析 。 

@ 网络 安全 规划 框架 体系 结构 。 

@ 网 络 安全 设计 原则 。 

@ 网 络 安全 技术 。 


8.1 网 络 和 应 用 现状 分 析 


要 解决 网 络 信息 安全 问题 ， 首 先 要 做 的 就 是 对 网 络 和 应 用 的 现状 进行 分 析 ， 找 出 网 络 
和 应 用 对 安全 的 需求 ， 并 针对 这 些 安全 需求 进行 网 络 安全 规划 ， 只 有 满足 网 络 实际 情况 的 
网 络 安全 规划 才 是 有 意义 的 。 


8.1.1 网 络 中 存在 的 安全 威胁 


网 络 系统 的 安全 性 和 可 靠 性 成 为 广大 网 络 系统 受益 者 共同 关注 的 焦点 。 而 网 络 自身 的 
一 些 特点 ， 在 为 网 络 系统 用 户 带 来 发 展 机 遇 的 同时 ， 也 带 来 了 巨大 的 风险 。 网 络 安全 威胁 
主要 存在 于 以 下 几 个 方面 。 

(1) 网 络 的 共享 性 

资源 共享 是 建立 计算 机 网 络 的 基本 目的 之 一 ， 但 是 这 也 为 系统 安全 的 攻击 者 利用 共享 
的 资源 进行 破坏 活动 提供 了 机 会 。 

(2) 网 络 的 开放 性 

网 上 的 任何 用 户 很 容易 浏览 到 一 个 企业 、 单 位 ， 以 及 个 人 的 敏感 性 信息 。 受 竺 


LI 
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至 自己 的 敏感 性 信息 已 被 他 人 盗用 却 全 然 不 知 。 

(3) 系统 的 复杂 性 

计算 机 网 络 系统 的 复杂 性 使 得 网 络 的 安全 管理 更 加 困难 。 

(4) 边界 的 不 确定 性 

网 络 的 可 扩展 性 同时 也 必然 导致 了 网 络 边界 的 不 确定 性 。 网 络 资源 共享 访问 时 的 网 络 
安全 边界 被 破坏 ， 导 致 对 网 络 安全 构成 严重 的 威胁 。 

(5) 路 径 的 不 确定 性 

从 用 户 宿主 机 到 另 一 个 宿主 机 可 能 存在 多 条 路 径 。 一 份 报 文 在 从 发 送 节点 达到 目标 节 
点 之 前 可 能 要 经 过 若干 个 中 间 节 点 。 所 以 起 点 节点 和 目标 节点 的 安全 保密 性 能 并 不 能 保证 
中 间 节 点 的 不 可 靠 性 问题 。 

(6) 信息 的 高 度 聚 集 性 

当 信 息 分 离 的 小 块 出 现时 ,信息 的 价值 往往 不 大 。 只 有 将 大 量 相关 信息 聚集 在 一 起 时 ， 
方 可 显示 出 其 重要 价值 。 网 络 中 聚集 了 大 量 的 信息 ， 特 别 是 nteret 中 , 它们 很 容易 遭 到 分 
析 性 攻击 。 

总 之 ， 网 络 系统 为 广大 用 户 带 来 方便 的 同时 ， 也 带 来 了 安全 隐患 ， 我 们 必须 对 这 些 安 
全 隐患 进行 有 效 的 解决 ， 否 则 ， 一 旦 发 生 重大 安全 问题 ， 网 络 用 户 将 得 不 偿 失 。 


8.1.2 网 络 现状 分 析 


网 络 安全 问题 是 一 系列 复杂 的 问题 ， 涉 及 到 网 络 的 多 个 方面 ， 所 以 网 络 现状 分 析 是 网 
络 安全 规划 的 第 一 步 。 只 有 了 解 了 网 络 的 各 种 具体 情况 ， 才 能 有 针对 性 地 提出 切实 可 行 的 
安全 解决 方案 。 网 络 现状 分 析 包括 如 下 内 容 。 

(1) 网 络 规模 。 具 体 包括 服务 器 的 配置 规格 (如 品牌 、 型 号 、 运 算 速 度 、 存 储 容量 等 ) 
以 及 对 应 的 数量 、 普 通 计算 机 的 配置 规格 以 及 对 应 的 数量 、 各 种 网 络 设备 〈 如 交换 机 、 路 
由 器 以 及 网 卡 等 ) 的 配置 规格 以 及 对 应 的 数量 。 

(2) 网 络 结构 。 即 计算 机 和 计算 机 、 计 算 机 和 网 络 设备 、 网 络 设备 和 网 络 设备 之 间 的 
连接 方式 ， 合 理 的 网 络 结构 有 利于 管理 ， 减 少 管理 人 员 的 工作 量 ， 提 高 网 络 的 灵活 性 。 

(3) 网 络 跨度 。 即 网 络 的 物理 范围 的 大 小 ， 比 如 是 几 十 米 、 几 百 米 还 是 几 千 米 或 者 更 
大 范围 ， 是 否 使 用 VPN 来 实现 远 距 离 的 连接 。 

(4) 是 否 连接 互联 网 。 对 于 和 互联 网 物理 隔离 的 网 络 系统 ， 可 以 不 用 防火 墙 ， 对 于 直 
接连 接 到 互联 网 的 网 络 系统 ， 防 火 墙 是 网 络 安全 的 一 项 非常 重要 的 安全 措施 。 

(5) 网 络 速度 。 整 个 网 络 系统 是 百 兆 网 还 是 千 兆 网 ， 对 于 网 络 速度 的 了 解 ， 有 利于 
选择 合适 的 网 络 安全 产品 与 之 适应 ， 这 对 于 安全 解决 方案 的 制作 以 及 网 络 应 用 都 是 非常 
重要 的 。 

(6) 系统 平台 。 计 算 机 的 操作 系统 平台 提供 了 一 定 的 安全 保障 ， 不 同 的 系统 提供 的 安 
全 保障 内 容 相差 较 大 ， 所 以 对 系统 平台 的 了 解 ， 有 利于 针对 系统 平台 的 安全 问题 提供 适当 
的 解决 方案 。 

对 于 网 络 现状 了 解 得 越 清楚 ， 就 越 能 够 准确 地 发 现 系统 中 存在 的 安全 隐患 ， 最 后 提出 
的 解决 方案 就 越 有 针对 性 ， 即 能 够 防止 因为 滥用 安全 措施 导致 费用 过 高 ， 又 能 够 有 效 提高 
整个 网 络 系统 的 安全 性 。 


第 8 章 网 络 安全 规划 235 


8.1.3 ”应 用 现状 分 析 


应 用 现状 分 析 是 指 对 建立 在 企业 网 络 基础 上 的 应 用 情况 的 分 析 。 企 业 信息 化 以 后 ， 计 
算 机 为 企业 提供 了 各 种 各 样 的 满足 企业 需要 的 应 用 ， 这 些 应 用 在 给 企业 带 来 效率 和 效益 的 
同时 ， 也 带 来 了 一 定 的 安全 隐患 ， 对 这 些 应 用 的 分 析 ， 有 利于 充分 利用 其 带 来 的 利益 的 同 
时 ， 防 止 和 避免 相关 的 安全 问题 。 应 用 现状 分 析 主 要 包括 如 下 内 容 。 

(1) 是 否 通 过 互联 网 对 外 提供 Web 服务 ， 如 果 是 的 话 ， 就 需要 对 Web 服务 器 的 安全 
进行 特殊 处 理 ， 比 如 安装 防火 墙 、 网 页 防 算 改 、 与 内 部 重要 网 络 进行 物理 隔离 以 及 采取 其 
他 防止 被 攻击 和 破坏 的 安全 措施 。 

(2) 是 否 通 过 文件 服务 器 共享 文件 ， 如 果 是 的 话 ， 就 需要 对 文件 服务 器 上 的 共享 目录 
做 具体 的 权限 设置 ， 防 止 有 人 越权 查看 、 修 改 、 复 制 、 删 除 文件 服务 器 上 的 文件 ， 这 项 措 
施 对 于 防止 内 部 人 员 泄 密 具 有 非常 重要 的 意义 。 

(3) 是 否 存在 跨 互 联网 的 应 用 系统 ， 如 果 存 在 的 话 ， 为 了 应 用 系统 的 安全 运行 ， 需 要 
采取 VPN 技术 作为 网 络 直接 的 连接 方式 , 而 不 是 直接 将 数据 在 互联 网 上 进行 传输 ， 这 对 于 
企业 的 重要 应 用 非常 重要 ， 因 为 系统 数据 被 窃取 、 自 改 、 丢 失 都 将 对 企业 造成 不 同 程度 的 
损失 。 

(4) 网 络 中 是 否 存 在 重要 信息 资料 从 内 部 网 络 泄密 的 可 能 ， 如 果 是 的 话 ， 就 需要 部 署 
对 这 些 文件 资料 的 保护 措施 ， 特 别 是 对 内 部 人 员 的 行为 进行 管理 ， 比 如 禁止 随意 使 用 便携 
式 存 储 设 备 在 内 部 网 络 中 复制 文件 ， 禁 止 随意 使 用 打印 机 打印 文件 ， 禁 止 使 用 刻录 机 刻录 
文件 等 ， 实 施 内 网 安全 管理 可 以 在 某 种 程度 上 有 效 解决 内 网 安全 问题 。 

(5) 网 络 中 是 否 存在 通过 互联 网 泄密 的 可 能 ， 如 果 可 能 的 话 ， 就 需要 对 员工 在 互联 网 
上 的 行为 进行 控制 ， 比 如 禁止 随意 发 送 邮件 ， 禁 止 通过 互联 网 外 传 企业 内 部 文件 资料 ， 禁 
止 使 用 聊天 工具 向 外 泄露 企业 内 部 的 重要 信息 。 

(6) 网 络 中 是 否 存在 引入 计算 机 病毒 的 地 方 ( 比 如 从 外 部 复制 光盘 内 容 到 企业 内 部 ) ， 
如 果 存 在 的 话 ， 对 这 些 地 方 需要 严格 管理 ， 为 了 防止 意外 情况 的 发 生 ， 还 需要 对 企业 内 部 
计算 机 均 安 装 杀毒 软件 ， 防 止 网 络 中 一 台 计 算 机 感染 病毒 以 后 ， 莹 延 到 整个 网 络 ， 从 而 导 
致 网 络 系统 的 损失 。 

计算 机 网 络 虽 然 为 企业 提供 了 丰富 多 样 的 应 用 ， 但 是 不 同 企业 在 使 用 本 企业 计算 机 网 
络 所 提供 的 应 用 是 有 所 不 同 ， 只 有 针对 具体 网 络 提供 的 企业 应 用 进行 详细 、 全 面 的 分 析 ， 
才能 发 现 其 中 存在 的 安全 隐患 ， 找 出 对 应 的 解决 方案 ， 为 企业 信息 化 提供 安全 保障 。 


8.1.4 安全 系统 设计 目标 


安全 系统 设计 的 目标 就 是 要 全 方位 地 、 分 层次 地 解决 网 络 安全 问题 ， 不 同 层 次 反映 了 
不 同 的 安全 问题 ， 我 们 把 网 络 安全 问题 分 为 5 个 层次 ， 它 们 分 别 是 物理 层 安全 问题 、 系 统 层 
安全 问题 、 网 络 层 安全 问题 、 应 用 层 安 全 问题 和 安全 管理 问题 。 

(1) 物理 环境 的 安全 性 〈 物 理 层 安全 问题 ) 

该 层次 的 安全 包括 通信 线路 的 安全 、 物 理 设备 的 安全 和 机 房 的 安全 等 。 物 理 层 的 安全 
主要 体现 在 通信 线路 的 可 靠 性 〈 线 路 备份 、 网 管 软件 、 传 输 介 质 ) ， 软 硬件 设备 安全 性 〈 蔡 
换 设备 、 拆 印 设 备 、 增 加 设备 ) ， 设 备 的 备份 ， 防 灾害 能 力 、 防 干扰 能 力 ， 设 备 的 运行 环 
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境 (温度 、 湿 度 、 烟 尘 ) ， 不 间断 电源 保障 ， 等 等 。 

(2) 操作 系统 的 安全 性 (系统 层 安 全 问题 ) 

该 层次 的 安全 问题 来 自 网 络 内 使 用 的 操作 系统 的 安全 , 如 Windows NT, Windows 2000 
等 。 主 要 表现 在 三 方面 ,一 是 操作 系统 本 身 的 缺陷 带 来 的 不 安全 因素 ， 主 要 包括 身份 认证 、 
访问 控制 、 系 统 漏洞 等 。 二 是 对 操作 系统 的 安全 配置 问题 。 三 是 病毒 对 操作 系统 的 威胁 。 

(3) 网 络 的 安全 性 (网 络 层 安全 问题 ) 

该 层次 的 安全 问题 主要 体现 在 网 络 方面 的 安全 性 ， 包 括 : 网 络 层 身份 认证 ， 网 络 资源 
的 访问 控制 ， 数 据 传输 的 保密 与 完整 性 ， 远 程 接 入 的 安全 ， 域 名 系统 的 安全 ， 路 由 系统 的 
安全 ， 入 侵 检测 的 手段 ， 网 络 设施 防 病毒 等 。 

(4) 应 用 的 安全 性 〈 应 用 层 安全 问题 ) 

该 层次 的 安全 问题 主要 由 提供 服务 所 采用 的 应 用 软件 和 数据 的 安全 性 产生 ， 包 括 Web 
服务 、 电 子 邮 件 系统 、DNS 等 。 此 外 ， 还 包括 病毒 对 系统 的 威胁 。 

(5) 管理 的 安全 性 (管理 层 安 全 问题 ) 

安全 管理 包括 安全 技术 和 设备 的 管理 、 安 全 管理 制度 、 部 门 与 人 员 的 组 织 规则 等 。 管 
理 的 制度 化 极 大 程度 地 影响 着 整个 网 络 的 安全 ， 严 格 的 安全 管理 制度 、 明 确 的 部 门 安全 职 
责 划 分 、 合 理 的 人 员 角 色 配 置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 


8.2 ”网 络 安全 系统 整体 规划 


网 络 安全 系统 的 整体 规划 ， 应 在 科学 的 安全 体系 框架 的 指导 下 ， 在 详细 的 系统 功能 、 
网 络 结构 和 安全 风险 分 析 的 基础 上 ， 逐 步 摸 清 各 个 系统 的 安全 需求 ， 划 分 出 不 同 的 安全 子 
系统 ， 在 不 同 层次 采取 不 同 的 安全 措施 ， 选 用 合理 的 安全 产品 ， 通 过 各 种 网 络 安全 技术 和 
机 制 的 综合 运用 ， 加 以 实现 。 

(1) 安全 第 一 原则 

这 有 两 层 含义 ， 一 是 在 观念 上 把 网 络 安全 作为 一 项 重点 工作 贯穿 企业 综合 信息 网 建设 
的 始终 ， 避 免 “ 只 搭 网 ， 无 安全 ;修了 路 ， 不 敢 跑 车 ”的 局 面 ， 避 免 由 于 一 开始 没 考虑 安 
全 而 在 以 后 以 加 倍 的 代价 弥补 安全 缺陷 ， 其次， 就 是 在 安全 产品 选 型 时 ， 尽 量 选用 具有 自 
主 知识 产权 并 通过 国家 权威 监管 和 测评 机 构 认证 的 安全 产品 ， 避 免 国 外 产品 的 加 密 强 度 限 
制 和 技术 陷阱 、 安 全 后 门 、 软 件 炸弹 等 。 

(2) 以 人 为 本 ， 预 防 和 管理 为 主 ， 安 全 技术 和 设施 为 畏 

据 统计 ，95% 的 网 络 和 信息 安全 事件 均 源 于 网 络 不 设防 、 安 全 策略 的 不 得 当 和 内 部 管 
理 人 员 的 疏忽 。 因 此 ， 在 网 络 安全 设计 时 ， 一 定 要 把 网 络 安全 管理 放 在 首位 ， 使 网 络 安全 
技术 服务 于 网 络 安全 管理 ， 同 时 要 通过 教育 培训 加 强 用 户 的 安全 意识 和 安全 素质 ， 加 强 安 
全 管理 和 防范 。 

(3) 体系 化 设计 原则 

安全 涉及 到 方方面面 的 问题 ， 必 须 通过 建立 科学 的 安全 体系 框架 ， 才 能 分 析出 企业 网 
络 在 各 个 层次 的 不 同安 全 风险 和 安全 需求 ， 并 有 针对 性 地 采取 有 力 的 措施 ， 保 证 企业 网 络 
以 及 在 其 上 运行 的 应 用 系统 和 数据 的 安全 。 
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(4) 全 局 性 、 综 合 性 、 均 衡 性 原则 

从 全 局 出 发 ， 综 合 考虑 各 种 安全 风险 ， 采 取 相 应 的 安全 措施 ， 并 根据 风险 的 大 小 ， 
采取 不 同 强度 的 安全 措施 ， 一 方面 保证 了 企业 网 络 的 各 种 安全 需求 得 到 了 解决 ， 另 一 方 
面 ， 在 必要 的 元 余 基础 上 ， 采 取 最 简单 的 安全 措施 ， 提 供 具 有 最 优 的 性 能 价格 比 的 安全 
解决 方案 。 

(5) 可 行 性 、 可 靠 性 、 安 全 性 原则 

在 采用 安全 系统 之 后 ， 不 会 对 原 有 的 网 络 和 应 用 系统 有 大 的 影响 。 在 保证 网 络 和 应 用 
系统 正常 运转 的 前 提 下 ， 保 证 系统 的 安全 。 同 时 安全 系统 应 该 是 可 实施 的 ， 选 用 的 安全 产 
品 是 技术 成 熟 、 经 过 实际 检验 的 安全 可 靠 的 产品 。 

(6) 分 步 实施 原则 : 分 级 管理 ， 分 步 实 施 。 

由 于 网 络 系统 及 其 应 用 扩展 范围 广阔 ， 随 着 网 络 规模 的 扩大 及 应 用 的 增加 ， 网 络 脆弱 
性 也 会 不 断 增加 。 一 劳 永 锡 地 解决 网 络 安全 问题 是 不 现实 的 。 同 时 由 于 实施 信息 安全 措施 
需要 相当 的 费用 支出 。 因 此 分 步 实 施 ， 既 可 满足 网 络 系统 及 信息 安全 的 基本 需求 ， 也 可 节 
省 费用 开支 。 


8.2.1 安全 体系 框架 分 析 


安全 方案 的 科学 性 、 可 行 性 是 其 可 顺利 实施 的 保障 。 安 全 方案 必须 架构 在 科学 的 安全 
体系 和 安全 框架 之 上 ， 因 为 安全 体系 框架 是 安全 方案 设计 和 分 析 的 基础 。 

为 了 系统 、 科 学 地 分 析 安 全 方案 涉及 的 各 种 安全 问题 ， 在 大 量 调查 研究 的 基础 上 ， 我 
们 提出 了 下 面 的 安全 体系 框架 ， 它 反映 了 信息 系统 安全 需求 和 体系 结构 的 共性 。 具 体 说 明 
如 下 。 

安全 体系 框架 是 一 个 三 维 结构 : 

第 一 维 (X 轴 ) 是 安全 服务 特性 ， 给 出 了 7 种 安全 属性 ; 

第 二 维 (Y 轴 ) 是 系统 单元 ， 给 出 了 信息 网 络 系统 的 组 成 ; 

第 三 维 (Z 轴 ) 是 协议 层次 ， 给 出 了 国际 标准 化 组 织 ISO 的 开放 系统 互 连 (OSI) 
模型 。 

安全 体系 框架 的 具体 模型 和 介绍 如 图 8-1 所 示 。 
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图 8-1 安全 体系 框架 
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1. 安全 服务 维 

安全 服务 源 于 ISO7498-2， 并 做 了 适当 扩展 。 它 列举 了 信息 网 络 系统 中 涉及 到 的 7 种 
主要 安全 服务 ， 具 体 如 下 : 

(1) 身份 认证 ， 用 于 确认 所 声明 的 身份 的 有 效 性 ; 

(2) 访问 控制 ， 防 止 非 授 权 使 用 资源 或 以 非 授 权 的 方式 使 用 资源 ; 

(3) 数据 保密 ， 数 据 存储 和 传输 时 加 密 ， 防 止 数据 窃取 、 窃 听 ; 

(4) 数据 完整 ， 防 止 数据 自 改 

(5) 不 可 抵赖 ， 取 两 种 形式 中 的 一 种 ， 用 于 防止 发 送 者 企图 否认 曾经 发 送 过 数据 或 其 
内 容 和 用 以 防止 接收 者 对 所 收 到 数据 或 内 容 的 抗 否 认 ; 

(6) 审计 管理 ， 设 置 审计 记录 措施 ， 分 析 审 计 记 录 ; 

(7) 可 用 性 、 可 靠 性 ， 在 系统 降级 或 受到 破坏 时 能 使 系统 继续 完成 其 功能 ， 使 得 在 不 
利 的 条 件 下 尽 可 能 少 地 受到 侵害 者 的 破坏 。 

2， 协议 层次 维 

协议 层次 维 由 ISO/OSI 参考 模型 的 七 层 构 成 ， 用 于 分 析 在 不 同 协议 层次 的 安全 需求 。 
与 TCP/IP 层次 对 应 ， 可 以 把 会 话 层 、 表 示 层 、 应 用 层 统一 为 “应 用 层 ”。 

3. 系统 单元 维 

系统 单元 维 描述 了 信息 网 络 的 各 个 组 成 成 分 ， 是 协议 层次 的 投影 。 

(1) 通信 平台 ， 信 息 网 络 的 通信 平台 ; 

(2) 网 络 平台 ， 信 息 网 络 的 网 络 系统 ; 

(3) 系统 平台 ， 信 息 网 络 的 操作 系统 平台 ; 

(4) 应 用 平台 ， 信 息 网 络 各 种 应 用 的 开发 、 运 行 平台 ; 
(5) 物理 环境 ， 信 息 网 络 运行 的 物理 环境 及 人 员 管 理 。 

4. 安全 管理 

贯穿 于 上 述 三 个 方面 ， 各 个 层次 的 是 安全 管理 。 通 过 技术 手段 和 行政 管理 手段 ， 安 全 
管理 将 涉及 到 各 系统 单元 在 各 个 协议 层次 提供 的 各 种 安全 服务 。 

安全 管理 的 核心 内 容 包括 : 

(1) 确定 安全 管理 的 范围 和 职责 : 根据 不 同 层次 的 安全 需求 和 应 用 模式 ， 在 不 同 平台 
确定 不 同 的 安全 域 ( 一 个 明确 的 “用 户 一 资源 一 授权 ”的 安全 管理 范围 ) ， 在 每 个 安全 域 
内 指定 一 个 安全 管理 员 或 安全 管理 小 组 ， 明 确 其 安全 管理 的 用 户 和 资源 对 象 ( 包 括 网 络 设 
备 、 服 务 器 和 应 用 系统 ) ， 确 定 其 安全 管理 的 权力 和 责任 。 

(2) 在 安全 域内 ， 遵 循 统一 的 安全 策略 和 安全 管理 原则 ， 制 定 相 应 的 安全 管理 制度 ， 采 
用 相应 的 安全 技术 ， 配 置 合适 的 安全 产品 ， 对 企业 网 络 和 应 用 进行 管理 。 

利用 上 述 安全 体系 框架 ， 我 们 就 可 以 比较 全 面 地 对 一 个 网 络 系统 存在 的 各 种 安全 需求 
进行 分 析 。 比 如 ， 对 于 系统 单元 维 的 网 络 平台 ， 其 安全 需求 主要 集中 在 网 络 节点 之 间 的 互 
相 认 证 和 访问 控制 ， 以 及 网 络 系统 的 可 用 性 和 可 靠 性 方面 ， 而 对 于 应 用 平台 ， 则 可 能 会 涉 
及 到 安全 服务 中 的 所 有 安全 服务 。 

在 安全 方案 设计 中 ， 首 先 要 确定 安全 方案 所 涉及 到 的 系统 单元 ， 其 次 要 考虑 该 系统 单 
元 在 各 个 层次 所 提供 的 安全 服务 (功能 ) ， 最 后 还 应 考虑 这 些 单 元 系统 之 间 的 逻辑 关系 ， 
在 整体 安全 体系 框架 下 ， 划 分 成 不 同 的 安全 子 系统 ， 分 别提 供 相 应 的 安全 解决 方案 ， 才 能 
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提供 全 面 的 、 合 理 的 、 有 机 的 安全 服务 。 
8.2.2 ”安全 子 系统 划分 


利用 上 面 的 安全 体系 框架 ， 我 们 可 以 把 一 般 的 信息 网 络 安全 系统 划分 为 以 下 几 个 安全 
子 系统 。 

(1) 通信 平台 安全 子 系统 。 主 要 对 数据 在 广域网 传输 时 提供 安全 保障 ， 在 安全 体系 杠 
架 中 涉及 到 数据 完整 性 和 保密 性 、 链 路 可 用 性 和 可 靠 性 等 安全 服务 ， 一 般 采 用 链 路 加 密 设 
备 、 元 余 链 路 等 措施 ; 

(2) 网 络 平台 安全 子 系统 。 主 要 需要 提供 安全 的 网 络 拓扑 ， 防 范 来 自 外 部 网 络 的 安全 
威胁 ， 尽 早 发 现 安全 隐患 和 安全 事件 ， 把 它们 控制 在 一 个 比较 小 的 网 络 范围 内 。 在 安全 体 
系 框架 中 ， 网 络 安全 子 系统 涉及 到 网 络 节点 间 的 认证 和 访问 控制 、 网 络 可 用 性 和 可 靠 性 等 
服务 ， 一 般 通过 网 络 拓扑 划分 ， 采 用 防火 墙 、 安 全 路 由 器 、 安 全 漏洞 扫描 和 实时 入 侵 检测 、 
网 络 防 病毒 等 软件 或 设备 及 其 见 余 措施 实现 ; 

(3) 系统 平台 安全 子 系统 。 主 要 对 主机 (包括 服务 器 和 单机 ， 主 要 针对 关键 服务 器 ) 
进行 保护 ， 保 证 主机 上 的 操作 系统 和 数据 的 安全 。 在 安全 体系 框架 中 ， 主 机 安全 子 系统 涉 
及 到 用 户 认证 、 访 问 控制 、 主 机 上 存储 的 数据 的 完整 性 和 保密 性 、 访 问 的 审计 、 主 机 及 其 
上 的 服务 的 可 用 性 和 可 靠 性 等 安全 服务 ， 一 般 采 用 增强 操作 系统 安全 、 主 机 安全 扫描 、 主 
机 入 侵 检测 、 主 机 防 病毒 、 文 件 存储 加 密 、 数 据 库存 储 加 密 等 措施 ; 

(4) 应 用 平台 安全 子 系统 。 主 要 为 网 络 应 用 提供 各 种 安全 服务 ,保证 应 用 系统 中 使 用 
到 的 各 种 数据 (如 各 种 公文 、 人 事 、 财 务 等 信息 ) 的 安全 。 应 用 安全 子 系统 涉及 到 在 安全 
体系 框架 中 提 及 的 各 种 安全 服务 ， 如 对 应 用 系统 的 用 户 认证 、 访 问 控制 、 数 据 的 完整 性 和 
保密 性 、 抗 抵赖 、 审 计 及 应 用 系统 的 可 用 性 和 可 靠 性 ， 因 此 这 是 最 复杂 的 一 个 安全 子 系统 ， 
可 以 采用 的 安全 措施 有 : 使 用 应 用 开发 平台 提供 的 各 种 安全 服务 ， 在 应 用 系统 中 开发 各 种 
安全 服务 ， 使 用 第 三 方 应 用 安全 平台 提供 的 安全 服务 等 。 

对 企业 网 络 ， 同 样 可 以 划分 成 上 述 几 个 安全 子 系统 。 但 是 由 于 具体 的 企业 网 络 有 其 特 
殊 的 网 络 环境 和 应 用 环境 ， 各 个 安全 子 系统 的 侧重 点 要 结合 实际 需求 具体 分 析 。 下 面 我 们 
将 针对 不 同 的 安全 子 系统 ， 根 据 其 安全 需求 ， 提 出 我 们 的 安全 建议 。 


8.3 ”通信 平台 安全 子 系统 


通信 平台 安全 子 系统 的 目标 主要 是 从 通信 链 路 和 设备 上 保证 数据 传输 的 安全 可 靠 。 它 
主要 对 数据 在 网 络 硬件 设备 上 传输 时 提供 安全 保障 。 

在 企业 网 络 中 ， 网 络 硬件 设备 主要 包括 : 

(1) 用 于 连接 计算 机 和 计算 机 、 计 算 机 和 网 络 设备 以 及 网 络 设备 和 网 络 设备 的 网 线 。 

(2) 用 于 使 计算 机 具有 通信 功能 的 网 卡 。 

(3) 用 于 建立 网 络 系统 的 网 络 设备 ， 包 括 集线器 、 交 换 机 、 路 由 器 等 。 

(4) 用 于 为 网 络 系统 提供 服务 的 服务 器 。 

(5) 用 于 为 网 络 系统 提供 安全 保障 的 安全 设备 ， 包 括 硬件 VPN、 硬 件 防火 墙 等 。 
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这 些 建 立 计算 机 网 络 的 硬件 设备 为 企业 网 络 搭建 了 一 个 通信 平台 ， 这 个 平台 的 安全 运 
行 是 计算 机 网 络 安全 的 一 个 基础 和 前 提 。 只 有 硬件 设备 的 安全 得 到 保障 ， 整 个 网 络 系统 的 
安全 才 成 为 可 能 ， 可 见 确 保 网 络 通信 平台 安全 子 系统 的 稳定 、 高 效 、 安 全 地 运行 是 整个 网 
络 系统 安全 的 一 个 重要 组 成 部 分 。 


8.4 网 络 平台 安全 子 系统 


在 安全 体系 框架 中 ， 网 络 安全 子 系统 涉及 到 网 络 节点 间 的 认证 和 访问 控制 、 网 络 可 用 
性 和 可 靠 性 等 服务 ， 一 般 通 过 网 络 拓扑 划分 ， 采 用 防火 墙 、 安 全 路 由 器 、 安 全 漏洞 扫描 和 
实时 入 侵 检测 、 网 络 防 病毒 等 软件 或 设备 及 其 元 余 措 施 实现 。 


8.4.1 网 络 平台 安全 域 划分 


网 络 平台 安全 子 系统 的 目标 是 保证 网 络 边 界 的 安全 , 确保 用 户 只 能 访问 到 授权 的 网 段 、 
服务 器 和 服务 。 

企业 网 络 除了 实现 为 企业 内 部 信息 化 以 外 ， 为 了 方便 地 从 互联 网 上 获取 相关 信息 ， 通 
常会 将 企业 网 络 的 一 部 分 同 互联 网 连接 , 在 带 来 网 络 访问 方便 的 同时 ,也 带 来 了 安全 风险 
所 以 需要 对 连接 到 互联 网 的 网 络 边 界 的 安全 进行 有 效 的 管理 。 

除了 直接 连接 到 互联 网 上 的 网 络 存在 边界 安全 问题 ， 同 时 各 个 部 门 的 网 络 连 接 同样 存 
在 着 网 络 边界 安全 问题 ， 比 如 企业 总 部 和 各 级 分 支 机 构 之 间 。 
因此 ， 在 企业 网 中 ， 网 络 平台 安全 子 系统 主要 是 针对 各 单位 局 域 网 的 边界 安全 ， 可 以 
把 每 个 单位 的 局 域 网 划分 为 一 个 独立 的 安全 域 。 
8.4.2 ”网 络 平台 安全 需求 分 析 
网 络 平台 的 安全 需求 主要 是 防范 不 同 网 段 之 间 的 攻击 和 非法 访问 。 在 企业 网 络 当中 ， 
针对 总 部 局 域 网 ， 网 络 平台 的 安全 需求 主要 有 以 下 几 点 。 

(1) 重点 保护 企业 网 络 中 的 各 种 应 用 服务 器 和 数据 库 服 务 器 ,特别 是 要 保证 数据 库 服 
务 器 的 绝对 安全 ， 不 能 允许 任何 用 户 直接 访问 。 对 应 用 服务 器 ， 则 要 保证 用 户 的 访问 是 受 
到 控制 的 ， 要 能 够 限制 可 以 访问 该 应 用 服务 器 的 用 户 范围 ， 控 制 用 户 只 能 够 通过 指定 的 方 
式 进行 访问 。 

(2) 要 区 分 来 自省 级 分 支 机 构 的 用 户 和 来 自 其 他 单位 (地 市 级 分 支 机 构 、 营 业 网 点 》 
的 用 户 ， 不 能 允许 其 他 单位 的 用 户 直 接 访 问 总 部 的 办 公 网 络 。 

(3) 企业 网 络 中 重要 网 段 应 该 与 互联 网 物理 隔离 ， 防止 来 自 互 联网 的 攻击 造成 企业 内 
部 重要 网 段 的 破坏 。 对 总 部 网 络 与 各 分 支 机 构 网 络 的 连接 ， 同 样 需要 注意 由 此 而 引起 的 安 
全 风险 ， 因 为 这 样 的 攻击 可 能 来 自 外 部 ， 也 可 能 来 自 企 业内 部 的 各 个 分 支 机 构 。 因 此 ， 要 
能 够 及 时 发 现 各 种 可 能 的 网 络 攻击 ， 特 别 是 针对 总 部 应 用 服务 器 的 攻击 。 

上 述 安全 需求 ， 需 要 通过 划分 出 安全 的 网 络 拓扑 结构 ， 并 通过 VLAN 划分 、 安 全 路 由 
器 配置 和 防火 墙 网 关 的 配置 来 控制 不 同 网 段 之 间 的 访问 控制 ， 同 时 ， 可 以 采用 入 侵 检测 系 
统 来 防范 各 种 常见 的 网 络 攻击 。 
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8.4.3 安全 网 络 拓扑 结构 


划分 安全 网 络 拓扑 的 目的 是 在 保证 网 络 应 用 的 可 用 性 的 基础 上 ， 对 网 络 中 的 各 种 服务 
器 提供 最 大 的 安全 保证 。 

我 们 建议 采用 一 种 非 军事 化 区 (DMZ) 的 三 网 段 网 络 结构 。 

目前 网 络 应 用 中 最 通用 的 一 种 应 用 模式 是 三 层 结构 :用户 界面 层 一 应 用 服务 器 层 一 数 
据 库 层 。 应 用 系统 的 所 有 重要 数据 都 存放 在 数据 库 层 中 ， 用 户 界 面 层 和 应 用 服务 器 层 只 存 
放 一 些 临时 数据 。 用 户 通过 用 户 界面 层 访问 应 用 服务 器 层 ， 再 通过 应 用 服务 器 访问 后 面 的 
数据 库 。 在 任何 时 候 , 都 不 允许 用 户 直接 访问 数据 库 层 中 的 数据 库 服务 器 。B/W/D 模式 ( 浏 
览 器 /Web 服务 器 /数据 库 服务 器 ) 的 应 用 是 这 种 三 层 结构 应 用 的 典型 ， 这 种 模式 中 客户 端 
使 用 的 是 普通 的 浏览 器 ，Web 服务 器 可 以 使 用 各 种 主流 服务 器 ， 后 台数 据 库 也 可 以 是 任何 
一 种 关系 型 数据 库 。 

根据 这 种 应 用 模式 ， 使 用 非 军事 化 区 结构 的 网 络 拓扑 是 一 种 很 自然 的 提高 安全 性 的 措 
施 。 我 们 可 以 采用 防火 墙 来 划分 这 种 安全 网 络 拓扑 。 在 防火 墙 上 安装 三 块 网 卡 ， 分 别 连 接 
三 个 不 同 网 段 ， 即 外 网 〈 非 安全 区 ) 、 非 军事 化 区 和 内 网 〈 安 全 区 ) 。 

外 部 用 户 位 于 外 网 ， 只 能 够 访问 到 非 军事 化 区 ， 不 能 访问 内 网 。 

内 网 放置 数据 库 层 的 各 种 服务 器 ， 存 放 重 要 的 数据 ， 不 允许 从 外 网 直接 访问 。 

非 军事 化 放置 应 用 服务 器 层 的 各 种 应 用 服务 器 ,在 目前 流行 的 B/W/D( 浏 览 器 /WEB 服 
务 器 /数据 库 服务 器 ) 应 用 模式 中 ， 对 应 的 是 各 种 WEB 服务 器 。 

位 于 外 网 的 用 户 通 过 用 户 界面 层 软件 ， 访 问 应 用 服务 器 ; 应 用 服务 器 再 通过 特定 应 用 
服务 访问 位 于 内 网 的 数据 库 层 服务 器 。 

在 一 个 部 门 内 部 ， 可 以 通过 虚 网 的 划分 ， 把 安全 内 网 划分 成 几 个 子 网 ， 数 据 库 服务 器 
子 网 、 内 部 应 用 服务 器 子 网 、 内 部 用 户 子 网 ， 只 限 内 部 用 户 访问 的 应 用 服务 器 放 在 内 部 应 
用 服务 器 子 网 。 通 过 虚 网 的 划分 ， 使 内 部 用 户 子 网 用 户 只 能 访问 外 网 、 非 军事 化 区 网 段 和 
内 部 应 用 服务 器 子 网 ， 不 能 访问 数据 库 服务 器 子 网 。 

在 企业 网 络 中 ， 针 对 总 部 局 域 网 ， 其 外 网 包括 各 级 分 子 机 构 的 网 络 用 户 ， 他 们 与 总 部 
的 网 络 连 接 都 必须 通过 防火 墙 。 

8.4.4 ”防火 墙 配置 方案 

防火 墙 是 网 络 平台 的 基本 安全 保证 措施 ， 主 要 用 于 保护 局 域 网 的 边界 安全 ， 实 现 不 同 

网 段 之 间 的 网 络 层 访问 控制 。 下 面 将 首先 介绍 总 部 局 域 网 防火 墙 的 配置 。 


8.4.5 总 部 局 域 网 防火 墙 配置 方案 


总 部 局 域 网 的 防火 墙 主要 用 于 限制 来 自省 级 分 支 机 构 、 地 市 级 分 支 机 构 以 及 营业 网 点 
的 用 户 访问 。 

我 们 在 总 部 的 中 心 交换 机 上 ， 设 置 一 个 防火 墙 网 关 。 该 防火 墙 网 关 配 置 三 块 网 卡 ， 把 
总 部 网 络 划分 为 三 个 网 段 。 

安全 内 网 : 放置 企业 综合 信息 系统 的 数据 库 服 务 器 ， 这 些 数据 库 服务 器 只 允许 应 用 服 
务 器 访问 ， 绝 不 允许 用 户 直接 访问 ; 此 外 ， 防 火 墙 的 管理 工作 站 也 可 以 放置 在 安全 内 网 中 。 

非 军 事 化 区 : 放置 企业 综合 信息 系统 的 应 用 服务 器 ， 包 括 企 业内 网 中 的 WEB 应 用 服 
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务 器 、 电 子 邮件 服务 器 、DNS 服务 器 等 。 这 些 服务 器 可 以 允许 用 户 访问 ， 但 是 其 访问 是 受 
到 防火 墙 网 关 控制 的 ， 如 只 允许 通过 电子 邮件 服务 器 发 送 、 接 收 邮件 ， 只 允许 访问 WEB 
应 用 服务 器 的 HTTP 端口 等 。 

外 网 : 包括 省 级 、 地 市 级 和 营业 网 点 的 网 络 。 

在 这 种 配置 下 ， 总 部 办 公 网 络 的 安全 保证 较 差 ， 有 可 能 会 受到 来 自分 支 机 构 内 网 的 攻 
击 。 为 此 , 我 们 建议 通过 交换 机 和 路 由 器 的 安全 配置 (包括 安全 路 由 设置 、 网 段 划 分 、 VLAN 
设计 等 ) 进行 保护 。 

通过 配置 防火 墙 ， 实 现 了 网 络 层 的 访问 控制 ， 但 是 防火 墙 的 访问 控制 粒度 很 粗 ， 一 般 
只 对 他 地址 、TCP/IP 服务 端口 进行 控制 ， 只 能 在 网 络 层 提供 基本 的 访问 控制 ,不 能 满足 对 
应 用 系统 和 其 数据 的 安全 需求 。 企 业 网 络 中 应 用 系统 的 访问 控制 需求 更 复杂 ， 需 要 采用 其 
他 一 些 安全 措施 。 我 们 将 在 后 面 进行 分 析 。 


8.4.6 ”入 侵 检 测 系统 设计 


我 们 建议 针对 企业 网 络 的 服务 器 网 段 ， 配 置 实时 的 入 侵 检 测 系统 ， 以 及 时 发 现 并 阻 断 
各 种 可 能 的 网 络 攻 击 企图 。 

入 侵 检测 系统 有 基于 主机 和 基于 网 络 的 两 种 模式 的 技术 和 产品 。 

基于 网 络 的 入 侵 检 测 系统 ， 通 过 在 计算 机 网 络 中 的 某 些 点 ， 被 动 地 监听 网 络 上 传输 的 
原始 流量 ， 对 获取 的 网 络 数据 进行 处 理 ， 从 中 获取 有 用 的 信息 ， 再 与 已 知 攻击 特征 相 匹配 ， 
或 与 正常 网 络 行为 原型 相 比 较 ， 来 识别 攻击 事件 。 

基于 主机 的 产品 只 能 针对 某 一 个 服务 器 的 访问 行为 进行 检测 ， 一 般 是 通过 检查 系统 的 
访问 日 志 进 行 判别 ， 识 别 率 较 高 ， 但 实时 性 较 差 。 此 外 ， 基 于 主机 的 产品 与 服务 器 的 操作 
系统 关系 密切 ， 一 般 只 支持 主流 的 操作 系统 (如 Windows NT，Solaris 等 ) 。 

为 此 ， 我 们 建议 采用 基于 网 络 的 入 侵 检 测 系统 ， 配 置 如 下 。 

(1) 在 总 部 网 络 的 非 军事 化 区 ， 配 置 一 个 入 侵 检 测 系统 的 探测 头 〈 入 侵 检测 引擎) ， 
监控 非 军事 化 区 内 的 所 有 服务 器 〈 包 括 应 用 服务 器 、 电 子 邮 件 服务 器 等 ) 和 主机 (如 各 种 
系统 的 管理 终端 ) 是 否 受 到 攻击 ， 并 在 有 攻击 发 生 时 进行 报警 、 阻 断 和 记录 等 。 

(2) 在 总 部 网 络 的 安全 内 网 ， 配 置 一 个 入 侵 检测 引擎 ， 监 控 对 安全 内 网 中 的 所 有 服务 
器 (主要 是 数据 库 服 务 器 ) 和 主机 是 否 受到 攻击 ， 并 在 有 攻击 发 生 时 进行 报警 、 阻 断 和 记 
录 等 。 

(3) 在 总 部 局 域 网 的 非 军事 化 区 ， 配置 入 侵 检测 系统 的 监控 中 心 ， 对 所 有 入 侵 检测 引 
擎 进行 集中 、 统 一 的 管理 和 监控 。 
国外 的 入 侵 检测 产品 以 ISS 公司 〈 安 氏 公司 ) 的 RealSecure 为 代表 。ISS 公司 是 国际 
最 著名 的 网 络 安全 公司 之 一 ， 其 SAFESuite 产品 是 国际 上 最 早 推出 的 网 络 安全 漏洞 扫描 和 
实时 入 侵 检测 系统 ， 并 一 直 引 导 着 漏洞 扫描 和 入 侵 检测 产品 (IDnA) 的 技术 潮流 。ISS 
RealSecure 产品 是 技术 最 先进 ， 功 能 最 强大 ， 能 够 检测 最 多 的 攻击 行为 ， 并 且 误 报 率 较 低 。 

入 侵 检测 系统 主要 是 利用 根据 网 络 上 的 各 种 网 络 攻击 〈 黑 客 攻击 ) 的 特征 数据 包 生 成 
的 攻击 模式 库 ， 对 网 络 上 的 各 种 数据 包 进行 匹配 ， 检 查 是 否 与 某 种 网 络 攻击 的 特征 数据 包 
相符 ， 因 此 对 于 网 络 上 各 种 针对 服务 器 操作 系统 、 网 络 服务 的 网 络 攻击 〈 我 们 一 般 称 之 为 
“黑客 攻击 ”或 “外 部 攻击 ”) ， 能 够 很 好 地 防范 ;而 对 于 以 窍 取 数据 为 目的 的 各 种 攻击 


第 8 章 ”网络 安全 规划 243 


〈 其 攻击 方式 主要 有 用 户 身 份 假冒 、 非 授权 访问 、 网 络 侦 听 等 ， 我 们 一 般 称 之 为 “内 部 攻 
击 ”) 并 不 能 很 好 地 防范 ， 必 须 采 用 应 用 层 的 安全 技术 进行 防范 。 


8.4.7 ”网 络 平台 安全 子 系统 小 结 


在 网 络 平台 安全 子 系统 中 ， 我 们 主要 分 析 了 网 络 的 安全 拓扑 、 防 火 墙 、 入 侵 检测 系统 
等 安全 技术 及 其 安全 设备 的 配置 。 

网 络 平台 的 安全 还 需要 保证 网 络 设备 ， 如 路 由 器 、 交 换 机 的 配置 是 安全 可 靠 的 ， 另 外 
还 可 以 采用 VLAN 划分 技术 等 保证 企业 网 络 平台 的 安全 。 


8.5 ”系统 平台 安全 子 系统 


在 安全 体系 框架 中 ， 系 统 平台 安全 子 系统 涉及 到 用 户 认证 、 访 问 控 制 、 主 机 上 存储 的 
数据 的 完整 性 和 保密 性 、 访 问 的 审计 、 主 机 及 其 上 的 服务 的 可 用 性 和 可 靠 性 等 安全 服务 ， 
一 般 采 用 增强 操作 系统 安全 、 主 机 安全 扫描 、 主 机 入 侵 检 测 、 主 机 防 病毒 、 文 件 存 储 加 密 、 
数据 库存 储 加 密 等 措施 。 


8.5.1 系统 平台 安全 需求 分 析 


系统 平台 的 安全 需求 主要 是 保证 主机 ， 特 别 是 各 个 应 用 服务 器 和 数据 库 服务 器 的 操作 
系统 、 应 用 服务 器 及 其 数据 的 安全 。 

Intemet 上 的 各 种 网 络 攻击 主要 集中 在 系统 层 ， 包 括 对 各 种 操作 系统 (如 Windows NT/ 
2000、 各 种 UNIX、Linux 系统 等 ) 、 网 络 基本 服务 (如 FTP、TELNET、HTTP)〉、 应 用 服 
务 器 (如 WEB 服务 器 、 数 据 库 服 务 器 等 ) 等 的 攻击 ， 利 用 这 些 操作 系统 、 网 络 服务 、 应 
用 服务 器 的 安全 漏洞 ， 取 得 对 服务 器 的 控制 权 。 常 见 的 网 络 攻击 类 型 包括 端口 扫描 、IPC 
攻击 、CGI 攻击 、 数 据 库 口 令 猜测 、 强 力 口令 破解 等 以 及 针对 特定 服务 的 攻击 ， 如 FTP、 
TELNET、FINGER、MS IIS Web Server 等 。 这 些 攻击 也 可 能 在 企业 内 网 出 现 。 

此 外 ， 病 毒 也 可 能 进入 企业 内 网 并 传播 开 来 ， 对 各 种 服务 器 和 桌面 机 造成 破坏 ， 导 致 
系统 不 可 用 、 文 件 损坏 、 数 据 丢失 等 严重 后 果 。 
因此 在 企业 内 网 当中 ， 系 统 平台 安全 子 系统 的 目标 主要 是 : 

(1) 保证 服务 器 操作 系统 和 应 用 服务 器 的 安全 ,尽量 选用 比较 成 熟 的 操作 系统 ， 对 于 
商业 操作 系统 要 及 时 为 其 打上 补丁 包 ， 在 应 用 服务 器 上 ， 不 必要 的 服务 坚决 关 掉 。 

(2) 防范 病毒 在 企业 内 网 内 的 传播 和 破坏 ， 及 时 发 现 、 消 灭 进 入 企业 内 网 的 病毒 。 

根据 这 些 安全 需求 ， 我 们 认为 系统 平台 安全 子 系统 的 解决 方案 应 该 包括 : 

(1) 计算 机 操作 系统 的 安全 配置 ， 主 要 是 系统 安全 管理 员 的 管理 职责 ; 

(2) 采用 安全 漏洞 扫描 和 评估 系统 ， 对 现 有 网 络 中 的 服务 器 、 主 机 进行 扫描 ， 预 先 查 
找 出 存在 的 漏洞 ， 以 便 进 行 修补 ; 

(3) 建立 一 个 完善 的 防 病毒 体系 。 


8.5.2 ”系统 平台 安全 域 的 划分 
由 于 系统 平台 的 管理 对 象 主要 是 部 门 的 服务 器 和 桌面 机 ， 因 此 我 们 建议 每 个 部 门 划分 
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独立 的 安全 域 ， 每 个 安全 域内 的 安全 管理 员 独 立 管理 本 部 门 局 域 网 内 的 服务 器 和 主机 ， 独 
立 完成 服务 器 的 安全 配置 ， 加 强 现 有 系统 的 安全 性 ， 建 立 独立 的 防 病毒 体系 。 


8.5.3 ”服务 器 安全 配置 


我 们 从 UNIX 和 Windows NT 两 方面 进行 介绍 。 
1. UNIX 系列 操作 系统 的 安全 配置 
UNIX 系列 操作 系统 包括 各 种 常见 的 UNIX 操作 系统 ,如 SUN Solaris、\HP UX、IBM AIX 
以 及 各 种 Linux 操作 系统 ， 如 RedHat、FreeBSD 等 操作 系统 。 
当前 网 络 黑客 攻击 的 基本 方法 是 利用 操作 系统 或 网 络 基本 服务 的 各 种 漏洞 ， 取 得 一 个 
一 般 用 户 的 账号 ， 在 此 基础 上 进一步 取得 一 个 超级 管理 员 的 账号 ， 然 后 在 系统 中 设置 各 种 
后 门 、 木 马 程序 ， 实 现 对 系统 的 完全 控制 。 
因此 ，UNIX 系统 安全 性 主要 通过 以 下 几 种 方式 实现 。 
(1) 严密 保护 账号 口令 
严密 保护 用 户 账号 和 口令 ， 防 止 外 泄 是 非常 必要 的 ， 必 须 采取 以 下 保护 措施 : 
@ 账号 和 口令 的 持 有 者 应 严守 秘密 , 不 要 轻易 将 账号 和 口令 交 给 他 人 或 随意 放置 , 绝 
对 不 能 泄露 系统 管理 员 的 账号 和 口令 ; 
@ 口令 设置 应 尽 可 能 复杂 一 些 , 并 最 好 能 做 到 经 常 更 换 , 防止 非法 用 户 轻易 猜 出 口令 ; 
@ 在 UNIX 系统 中 创建 用 户 时 ， 一 定 要 注意 用 户 UID 的 选用 。 因 为 如 果 两 个 用 户 具 
有 相同 的 UID， 他 们 将 互相 读 写 彼此 的 文件 、 删 除 彼此 的 进程 等 ， 这 对 于 UNIX 系统 是 很 
不 安全 的 ， 必 须 确保 每 个 用 户 都 具有 唯一 的 UID。 另 外 ， 千 万 不 要 将 根 用 户 或 超级 用 户 的 
UID 即 UID 为 0) 随意 用 于 任何 一 般 用 户 ， 因 为 超级 用 户 具 有 访问 系统 中 的 所 有 文件 ， 
删除 系统 中 的 所 有 进程 等 功能 ; 
@ 在 选用 用 户 的 GID 也 应 该 特别 慎重 ， 因 为 同一 组 的 用 户 可 以 互相 访问 彼此 的 文件 。 
(2) 适当 控制 文件 许可 权 和 拥有 权 
文件 的 使 用 权限 对 于 UNIX 系统 安全 来 说 是 十 分 重要 的 , 随意 地 分 配 文件 的 使 用 权限 ， 
将 可 能 危害 整个 系统 安全 ， 因 此 适当 地 控制 文件 的 许可 权 和 拥有 权 ， 也 是 防范 非法 侵入 的 
有 效 方法 。 
(3) 定期 检查 安全 日 志和 系统 状态 
为 了 更 有 效 地 防范 非法 侵入 系统 ， 应 定期 检查 安全 日 志和 系统 状态 。 可 以 选择 使 用 
UNIX 系统 提供 的 对 系统 的 活动 进行 总 览 的 命令 或 者 阅读 UNIX 系统 的 安全 日 志 。 
(4) 慎重 使 用 网 络 守 护 服 务 
UNIX 系统 还 提供 了 许多 网 络 守护 程序 ， 如 ftp、telnet、shell、login、exec、talk、tftp 
等 ， 这 些 网 络 守护 程序 对 系统 安全 影响 很 大 ， 应 注意 慎重 使 用 这 些 网 络 守护 程序 ， 如 无 实 
际 应 用 ， 在 信息 网 络 中 所 有 的 UNIX 系统 中 都 禁止 这 些 服务 。 
(5) 及 时 为 系统 打上 补丁 
UNIX 系统 中 很 多 的 服务 ， 包 括 一 些 基本 的 网 络 应 用 ， 如 HTTP、FTP、SNMP、 
SENDMAIL 等 都 存在 很 多 安全 漏洞 。 因 此 ， 系 统管 理 员 要 积极 关注 有 关 网 站 上 对 这 些 网 络 
服务 的 漏洞 的 报告 ， 有 补丁 的 要 及 时 打上 补丁 ， 还 没有 补丁 的 要 采用 相应 的 防范 措施 ， 如 
暂时 停止 服务 等 。 操 作 系统 包括 各 种 服务 不 一 定 要 使 用 最 新 的 版 本 ， 相 反 ， 版 本 稍 低 一 点 
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的 应 用 一 般 来 说 都 比较 成 熟 ， 补 丁 也 比较 充分 。 

2. Windows 系列 操作 系统 的 安全 配置 

包括 Microsoft Windows 系列 的 操作 系统 ， 如 NT/Windows 2000 等 系统 的 一 般 性 安全 
配置 ， 主 要 有 以 下 几 方 面 。 

(1) 严格 用 户 账号 管理 

@ 加 强 信 息 网 络 用 户 账户 的 管理 ,限定 用 户 账户 的 访问 权限 ,明确 规定 账户 的 口令 限 
制 和 账户 的 锁定 参数 。 

@ 严格 限制 Administrator 组 和 备份 组 账户 的 成 员 资格 。 

由 于 NT 的 安全 账户 管理 (SAM) 数据 库 可 以 由 以 下 用 户 被 复制 : Administrator 账户 ， 
Administrator 组 中 的 所 有 成 员 ， 备 份 操作 员 ， 服 务 器 操作 员 ， 以 及 所 有 具有 备份 特权 的 人 
员 ， 而 SAM 数据 库 的 一 个 备份 复制 能 够 被 某 些 工具 利用 来 破解 口令 ， 所 以 必须 对 那些 具 
有 复制 SAM 数据 库 权 限 的 特殊 用 户 账 户 资格 进行 严格 筛选 ， 同 时 加 强 对 这 些 账 户 的 跟踪 ， 
尤其 是 Administrator 账户 的 登录 (Logon) 失败 和 注销 (Logoff) 失败 。 对 SAM 进行 的 任 
何 权限 改变 和 对 其 本 身 的 修改 进行 审计 ， 并 且 设 置 发 送 一 个 警告 给 Administrator， 告 知 有 
事件 发 生 。 

另外 , 为 了 防止 特洛伊 木马 (Trojan Horses) 及 病毒 的 入 侵 , 所 有 具有 Administrator 
和 备份 特权 的 账户 绝对 不 能 浏览 Webp。 所 有 的 账户 只 能 具有 User 或 者 PowerUser 组 的 
权限 。 

@ 将 系统 管理 员 administrator 账号 改名 ， 以 防 非法 用 户 对 系统 管理 员 账 号 进行 口令 攻 
击 。 如 果 用 的 是 NT4.0， 可 以 用 Resource Kit 中 提供 的 工具 封锁 联机 系统 管理 员 账号 ， 这 样 
可 封锁 由 网 络 而 来 的 非法 登录 。 

@ 对 于 在 信息 网 络 中 用 于 提供 公共 服务 信息 的 服务 器 不 需要 也 不 应 该 有 除了 系统 
管理 用 途 之 外 的 其 他 用 户 账号 。 因 此 ， 应 该 废止 Guest 账号 ， 移 走 或 限制 所 有 的 其 他 用 
户 账号 。 

(2) 用 NTFS 取代 FAT 

信息 网 络 中 的 各 个 基于 Windows 系列 的 服务 器 要 尽量 采用 NTFS 而 不 用 FAT 文件 格 
式 ， 并 限制 用 户 对 NTFS 卷 上 的 磁盘 、 目 录 或 文件 的 访问 权 。 

NTFS (NT 文件 系统 ) 可 以 对 文件 和 目录 使 用 ACL ( 存 取 控 制 表 ) ，ACL 可 以 管理 共 
享 目录 的 合理 使 用 ， 而 FAT (文件 分 配 表 ) 却 只 能 管理 共享 级 的 安全 。 使 用 NTFS ACL 的 
好 处 在 于 ， 如 果 它 授权 用 户 对 某 分 区 具有 全 部 存 取 权限 ， 但 共享 级 权限 为 “只 读 ”， 则 最 
终 的 有 效 权限 为 “只 读 ”。Windows NT 取 NTFS ACL 和 共享 权限 的 交集 。 

(3) 认真 设置 并 正确 利用 审计 系统 

通过 激活 Windows NT 的 事件 审计 系统 ， 可 对 在 NT 环境 中 安全 性 是 否 已 经 被 攻击 或 
攻破 作 一 很 好 的 监控 与 分 析 。 通 过 审计 各 种 操作 成 功 和 失败 的 情况 (失败 的 情况 通常 比 成 
功 的 情况 少 得 多 ) ， 管 理 员 可 随时 排除 安全 隐患 ， 另外 不 常用 的 操作 也 值得 注意 ， 如 安全 
性 策略 的 改变 和 再 启动 往往 反映 了 未 经 授权 的 行为 。 
审计 日 志 本 身 也 需要 保护 ， 因 为 非法 用 户 在 进入 系统 之 后 通常 会 抹 掉 其 活动 踪迹 。 首 
先 我 们 应 该 定时 自动 备份 日 志文 件 ， 但 是 如 果 这 些 备 份 仍 然 是 联机 的 ， 则 也 有 可 能 被 非法 
用 户 找到 ,一 个 比较 好 的 解决 方法 是 将 审计 事件 记录 同时 制 成 硬 拷贝 ,或 者 将 其 通过 E-mail 
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发 送 给 系统 管理 员 。 

(4) 认真 利用 NT 域 管理 及 域 之 间 的 委托 关系 

利用 NT 域 的 管理 能 力 ， 选 择 安全 策略 和 操作 步 又， 把 服务 器 和 工作 站 组 成 逻辑 组 ， 
以 便于 更 好 地 管理 信息 网 络 中 NT 服务 器 和 Windows 工作 站 。 

正确 控制 信息 网 络 中 各 NT 服务 器 域 的 委托 关系 ， 从 而 控制 网 络 用 户 的 访问 权限 ， 使 
机 关 局 域 网 中 资源 只 在 一 定 范围 内 进行 共享 。 

(5) 确保 ERD 更 新 后 对 SAM 数据 库 的 防护 

每 次 紧急 修复 盘 〈(Emergency Repair Disk 一 ERD ) 在 更 新 时 ， 整 个 SAM 数据 库 被 复制 
到 %system%Aepairsam。 为 防止 非法 入 侵 ， 必 须 确保 在 每 次 ERD 更 新 后 ，% system% 
/repair/sam 对 所 有 人 不 可 读 。 严 格 控制 对 该 文件 的 读 权 ， 甚 至 是 不 要 给 Administrator 访问 
该 文件 的 权利 ， 如 果 需 要 更 新 该 文件 ，Administrator 暂时 改变 一 下 权利 ， 当 更 新 操作 完成 
后 ，Administrator 立即 把 权限 设置 成 不 可 访问 。 

(6) 及 时 安装 最 新 的 补丁 包 

与 任何 一 个 系统 一 样 ，Windows 系列 操作 系统 也 存在 很 多 安全 漏洞 ， 这 些 漏洞 往往 
是 在 被 发 现 之 后 才 由 Microsoft 的 技术 人 员 制 作 一 些 补丁 包 来 加 以 弥补 修正 。 所 以 ， 为 了 
最 大 程度 地 减少 Windows NT 中 的 BUG 可 能 给 企业 网 络 带 来 侵害 ， 除 了 针对 这 些 漏洞 对 
NT 操作 系统 作 一 些 策略 性 的 设置 外 ， 另 一 个 重要 且 有 效 的 方法 就 是 及 时 安装 微软 所 提供 
的 补丁 包 。 


8.5.4 漏洞 扫描 和 评估 系统 


为 了 事先 发 现 各 个 应 用 服务 器 的 操作 系统 和 应 用 系统 的 安全 性 ， 可 以 采用 漏洞 扫描 系 
统 对 重要 的 服务 器 先进 行 扫描 ， 以 发 现 系统 中 可 能 存在 的 安全 漏洞 和 安全 薄弱 环节 ， 先 一 
步 采取 适当 的 补救 措施 (如 安装 补丁 包 、 升 级 服务 程序 、 停 止 不 必要 的 服务 、 禁 止 某 些 用 
户 账号 等 ) ， 达 到 防范 的 目的 。 

漏洞 扫描 和 评估 系统 可 以 针对 企业 网 络 中 的 各 种 网 络 设备 、 防 火 墙 设备 、 应 用 服务 器 、 
数据 库 服务 器 和 桌面 机 进行 扫描 ， 可 以 检测 出 : 

(1) 被 扫描 对 象 的 操作 系统 及 其 版 本 ， 该 版 本 已 知 的 各 种 安全 漏洞 ， 是 否 有 补 
丁 包 ; 

(2) 被 扫描 对 象 上 存在 的 各 种 应 用 服务 程序 及 其 版 本 ， 该 服务 的 各 种 已 知 安全 
漏洞 。 

(3) 被 扫描 对 象 上 存在 的 后 门 和 木马 程序 。 

(4) 被 扫描 对 象 上 的 用 户 列表 ， 并 可 以 检测 出 其 中 不 安全 的 用 户 账号 ， 如 某 些 没有 设 
置 口令 ， 或 口令 很 不 安全 的 用 户 账号 。 

好 的 漏洞 扫描 系统 可 以 用 形象 的 图 表 表示 出 在 一 个 网 络 中 的 安全 薄弱 环节 ， 并 可 以 提 
供 非常 有 用 的 补救 建议 。 

但 是 ， 和 入 侵 检测 系统 一 样 ， 漏 洞 扫描 系统 主要 是 针对 因特网 上 的 各 种 网 络 攻击 ， 利 
用 攻击 模式 库 ， 对 系统 的 安全 漏洞 进行 检查 ， 而 对 于 内 部 攻击 的 安全 隐患 并 不 能 很 好 地 检 
测 出 来 。 

此 外 ， 漏 洞 扫描 系统 在 网 络 当中 并 不 是 一 个 实时 启动 的 系统 ， 只 需要 定期 挂 接 到 网 
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络 中 ， 对 当前 网 段 上 的 重点 服务 器 (如 WEB 服务 器 、 数 据 库 服务 器 、 邮 件 服务 器 、DNS 
服务 器 、 主 域 服务 器 等 ) 以 及 主要 的 桌面 机 进行 一 次 扫描 ， 即 可 得 到 当前 系统 中 存在 的 
各 种 安全 漏洞 。 只 要 管理 员 及 时 采纳 了 其 补救 建议 ， 即 可 在 相当 一 段 时 间 内 保证 系统 的 
安全 (当然 还 需要 管理 员 及 时 跟踪 最 新 的 安全 漏洞 和 攻击 手段 ， 以 免 成 为 新 发 现 的 安全 
漏洞 的 受害 者 ) 。 

因此 我 们 不 建议 直接 购买 漏洞 扫描 产品 ， 可 以 采用 购买 服务 的 方式 ， 由 安全 服务 提供 
商 对 网 络 内 的 服务 器 、 主 机 进行 检查 。 


8.5.5 ”企业 防 病毒 体系 


1. 企业 级 防 病毒 体系 设计 原则 

计算 机 病毒 防护 是 计算 机 系统 安全 策略 中 的 重要 组 成 部 分 ， 计 算 机 系统 的 安全 运行 、 
数据 文件 的 安全 使 用 是 保证 企业 网 络 正常 运作 的 重要 环节 。 

伴随 计算 机 应 用 技术 的 发 展 ， 网 络 文件 传输 、 电 子 邮 件 和 国际 互联 网 的 日 益 盛 行 ， 病 
毒 的 种 类 和 传播 媒介 都 在 不 断 翻 新 ， 病 毒 不 仅 可 以 通过 软盘 传播 ， 更 多 地 通过 网 络 共 享 文 
件 、 电 子 邮件 及 Intemet/Intranet 进行 扩散 。 

企业 网 络 中 数据 库 、 文 件数 据 交 换 和 电子 邮件 的 大 量 应 用 ， 面 临 传统 病毒 和 新 一 代 病 
毒 造 成 的 巨大 威胁 。 为 此 ， 我 们 认为 必须 在 企业 网 络 中 ， 规 划 好 防 病毒 体系 。 

在 设计 企业 网 络 防 病毒 体系 时 ， 我 们 建议 遵循 下 面 的 原则 : 

(1) 层 层 设防 ， 逐 层 把 关 。 根 据 病 毒 传播 的 可 能 途径 ， 在 最 恰当 的 位 置 配置 防 病 
毒 软 件 ， 扫 描 、 清 除 病毒 ， 切 断 病毒 的 传播 来 源 和 途径 ， 把 病毒 影响 限制 在 最 小 的 范围 
之 内 。 

(2) 分 布 配置 、 集 中 控 管 。 防 病毒 软件 要 配置 在 对 清除 病毒 最 能 起 作用 、 最 有 效 、 
最 迅速 的 地 方 ， 同 时 在 网 络 环境 下 ， 所 有 的 防 病毒 软件 要 能 够 实现 集中 的 管理 ， 要 能 够 自 
动 分 发 、 自 动 安装 、 统 一 升级 ， 这 样 一 方面 可 以 减轻 管理 员 的 工作 量 ， 同 时 又 有 效 地 防范 
病毒 在 信息 网 络 中 的 传播 ， 特 别 是 对 网 络 病毒 的 清除 ， 更 需要 在 全 网 范围 内 的 统一 协调 的 
管理 。 

2. 企业 级 防 病毒 体系 设计 

网 络 环 境 下 的 防 病毒 必须 层 层 设 防 ， 逐 层 把 关 ， 堵 住 病毒 传播 的 各 种 可 能 途径 ,包括 : 

(1) 网 关 防 病毒 

Internet 是 现在 病毒 传播 的 一 个 最 主要 的 路 径 , 访问 Intemet 网 站 可 能 会 感染 蠕虫 病毒 ， 
从 Internet 下 载 软件 和 数据 可 能 会 同时 把 病毒 、 黑 客 程序 都 带 进来 ， 对 外 开放 的 WEB 服务 
器 也 可 能 在 接受 来 自 Intemet 的 访问 时 被 感染 上 病毒 。 

在 企业 网 络 中 ， 不 同 机 构 局 域 网 之 间 的 访问 ， 可 能 会 引起 病毒 在 不 同 机 构 局 域 网 之 间 
的 传播 ， 因 此 ， 我 们 建议 在 每 个 局 域 网 与 其 他 局 域 网 之 间 ， 配 置 防 病毒 网 关 。 

(2) 邮件 防 病毒 

邮件 附件 是 当前 网 络 病毒 传播 的 一 个 重要 途径 ， 因 此 要 在 邮件 服务 器 上 配置 邮件 防 病 
毒 软件 ， 检 查 所 有 从 邮件 服务 器 发 送 和 接收 的 邮件 ， 特 别 是 其 邮件 附件 。 

在 企业 网 络 中 ， 设 计 两 套 电子 邮件 系统 : 一 是 加 密 的 专用 电子 邮件 系统 ， 其 病毒 免疫 
能 力 可 以 得 到 保证 ， 其 二 是 基于 企业 网 络 应 用 系统 的 通用 电子 邮件 系统 。 
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我 们 建议 在 通用 邮件 服务 器 上 配置 邮件 防 病毒 服务 器 。 针 对 该 邮件 服务 器 的 类 型 ， 可 
以 选择 针对 不 同 邮件 服务 器 的 防 病毒 软件 ， 如 Sendmail、Lotus Notes、Exchange 等 。 

另 一 方面 ， 防 范 邮 件 病毒 传播 要 加 强 对 用 户 的 安全 教育 ， 对 于 所 有 来 源 不 明 的 邮件 不 
要 轻易 打开 ， 特 别 是 其 附带 的 邮件 附件 。 在 打开 邮件 之 前 ， 最 好 打 电 话 与 发 件 人 确认 ， 因 
为 很 多 邮件 病毒 是 自动 从 通信 录 中 查找 收 件 人 的 。 发 送 邮件 时 ， 最 好 不 要 使 用 复杂 的 格式 ， 
可 以 直接 使 用 纯 文 本 格式 ， 这 样 邮件 带 病毒 传播 的 机 会 就 很 小 了 。 

(3) 服务 器 防 病毒 


我 们 建议 在 企业 网 络 中 为 基于 Windows NT/2000 各 个 服务 器 (如 域 服务 器 、 应 用 服 
务 器 、 数 据 库 服务 器 、 邮 件 服务 器 、Web 服务 器 等 ) 都 配置 服务 器 防 病毒 软件 。 如 果 邮 
件 服务 器 是 基于 NT 平台 的 , 则 不 但 要 配置 邮件 防 病毒 服务 器 软件 , 还 要 配置 服务 器 防 病 
毒 软件 。 

(4) 主机 防 病毒 

软盘 和 光盘 是 病毒 传播 的 另 一 个 主要 途径 ， 因 此 必须 针对 单机 配置 主机 防 病 毒 软件 。 

在 针对 病毒 传播 的 各 种 途径 配置 防 病毒 软件 之 后 ， 我 们 在 非 军事 化 区 内 配置 防 病毒 的 
管理 中 心 。 通 过 该 管理 中 心 对 整个 总 部 安全 域 的 防 病毒 系统 进行 统一 的 配置 和 管理 ， 包 括 
防 病毒 软件 包 的 自动 分 发 和 安装 、 病 毒 库 的 自动 更 新 、 病 毒 检测 引擎 的 自动 升级 等 。 这 样 
只 需要 管理 员 及 时 关注 病毒 的 发 展 动向 ， 及 时 下 载 最 新 的 病毒 库 和 病毒 检测 引擎 ， 及 时 升 
级 防 病毒 管理 中 心 的 防 病毒 软件 和 病毒 库 ， 就 可 以 把 最 新 的 防 病毒 软件 和 病毒 库 部 署 到 整 
个 总 部 局 域 网 ， 及 时 查 杀 各 种 病毒 。 

需要 说 明 的 是 ， 现 在 网 络 病毒 发 展 更 加 迅猛 ， 往 往 能 在 几 个 小 时 之 内 通过 互联 网 传播 
到 世界 各 地 。 而 防 病毒 厂商 从 发 现 某 种 病毒 到 制 估 、 提 出 解决 方案 、 升 级 病毒 库 或 更 新 病 
毒 检测 引擎 往往 需要 一 段 时 间 ， 而 在 这 段 时 间 内 ， 病 毒 就 可 能 已 经 侵入 网 络 并 散播 开 了 
甚至 造成 了 破坏 。 
因此 ， 并 不 是 说 配置 了 企业 级 防 病毒 体系 ， 就 可 以 高 枕 无 忧 了 。 以 管理 员 为 主 的 所 有 
用 户 都 要 时 时 关注 病毒 的 发 展 动向 ， 在 第 一 时 间 内 做 好 防范 措施 。 

对 于 非 专业 用 户 来 说 ， 这 个 要 求 比较 高 ， 因 此 我 们 建议 选择 能 够 提供 良好 安全 服务 的 
专业 厂商 ， 建 立 长 期 的 固定 合作 ， 以 充分 保障 对 病毒 和 其 他 安全 风险 的 防范 。 


8.6 应 用 平台 安全 子 系统 


应 用 安全 子 系统 涉及 到 在 安全 体系 框架 中 提 及 的 各 种 安全 服务 ， 如 对 应 用 系统 的 用 
户 认 证 、 访 问 控制 、 数 据 的 完整 性 和 保密 性 、 抗 抵赖 、 审 计 及 应 用 系统 的 可 用 性 和 可 靠 
性 ， 因 此 这 是 最 复杂 的 一 个 安全 子 系统 ， 可 以 采用 的 安全 措施 有 : 使 用 应 用 开发 平台 提 
供 的 各 种 安全 服务 ， 在 应 用 系统 中 开发 各 种 安全 服务 ， 使 用 第 三 方 应 用 安全 平台 提供 的 
安全 服务 等 。 
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8.6.1 安全 管理 对 象 和 安全 域 划分 


应 用 平台 安全 子 系统 的 安全 管理 对 象 是 在 企业 网 络 上 运行 的 各 种 应 用 系统 ， 其 安全 目 
标 主要 是 防范 各 种 内 部 攻击 。 
表 8-1 列 出 了 外 部 攻击 和 内 部 攻击 的 一 些 主要 区 别 。 
表 8-1 外 部 攻击 和 内 容 攻击 的 比较 


比较 项 目 外 部 攻击 内 部 攻击 
攻击 目的 纂 改 Web 页 面 ， 扬 自己 的 名 声 ， 使 系统 不 能 提 | 窃取 数据 ,特别 是 非 授权 访问 一般 
供 正常 的 服务 ， 破 坏 操作 系统 的 系统 文件 。 | 需要 避免 破坏 系统 的 正常 运行 
攻击 对 象 一 般 是 Web 服务 器 和 Web 页 面 , 也 可 针对 应 用 | 一 般 是 应 用 系统 和 应 用 系统 中 的 数 
服务 器 的 操作 系统 据 
攻击 来 源 来 自 Intemet 的 用 户 ， 遍 及 国内 外 ， 无 法 确定 其 | 企业 网 络 的 内 部 用 户 ,在 物理 位 置 和 
来 源 网 络 结构 上 可 以 确定 
攻击 方式 利用 操作 系统 或 应 用 系统 已 公开 的 漏洞 进行 攻 | 利用 应 用 系统 中 可 能 存在 的 后 门 、 隐 
击 通道 、 陷 阱 等 进行 攻击 
长 二 于 区 | cGI 世 击 通过 技术 手段 (网 络 优 听 ) 和 舌 技 术 
拒绝 服务 攻击 手段 社交、 从 宕 等 ) 窃取 合法 用 户 
RPC 攻 击 身份 ; 
IPC 攻 击 利用 合法 的 用 户 身份 登录 应 用 系统 ; 
a 查阅 在 自己 权限 之 外 的 信息 
网 络 会 听 窃 听 重要 的 数据 传输 
防范 措施 防火 墙 、 漏 洞 扫 描 、 入 侵 检测 、 防 病毒 有 本 全 的 人 全 信人 作 入 机 
应 用 安全 平台 
1， 长 期 规划 
根据 企业 网 络 的 整体 规划 ， 需 要 把 总 部 、 省 级 分 支 机 构 、 地 市 级 分 支 机 构 以 及 营业 网 


点 的 局 域 网 进行 连通 ， 因 此 ， 最 终 每 个 机 构 都 会 有 自己 的 各 种 应 用 系统 〈 包 括 办 公 系 统 和 
业务 系统 ) 在 企业 网 络 上 运行 。 

在 这 种 情况 下 ， 不 同 部 门 之 间 ， 以 及 在 同一 部 门 的 不 同 层 次 ， 对 应 用 系统 的 管理 基本 
都 是 独立 管理 的 ， 每 个 单位 都 需要 能 够 管理 自己 的 应 用 系统 ， 而 不 能 够 由 一 个 机 构 集 中 管 
理 。 否 则 很 容易 造成 管理 上 的 混乱 。 

在 这 种 分 布 式 应 用 环境 下 ， 应 用 系统 和 数据 分 布 在 各 自 的 局 域 网 中 ， 各 单位 可 以 把 一 
些 数 据 放 到 公共 服务 器 上 非 军事 化 区 内 的 Web 应 用 服务 器 ) 供 其 他 单位 的 用 户 查询 ， 但 
是 外 单位 的 用 户 的 访问 必须 得 到 本 单位 的 授权 。 

同样 ， 在 一 个 单位 内 部 ， 对 这 些 应 用 服务 器 的 访问 也 必须 得 到 严格 的 控制 ， 包 括 严格 
的 身份 认证 、 细 粒度 的 访问 控制 、 高 强度 的 加 密 传输 和 安全 的 审计 记录 。 

为 此 ， 我 们 建议 企业 信息 网 络 中 ， 根 据 不 同 的 部 门 划分 成 多 个 独立 的 安全 域 : 

(1) 财务 部 门 、 行 政 部 门 、 营 销 部 门 、 人 事 部 们 分 别 是 一 个 安全 域 ; 

(2) 各 省 级 分 支 机 构 分 别 是 一 个 安全 域 ; 

(3) 各 地 市 级 分 支 机构 、 营 业 网 点 分 别 是 一 个 安全 域 。 
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2. 安全 域 划分 和 其 扩展 性 

企业 网 络 第 一 步 主要 是 在 总 部 建立 一 个 通用 办 公平 台 ， 其 应 用 服务 器 和 数据 库 服 务 器 
都 集中 在 总 部 。 

很 明显 ， 对 这 个 应 用 系统 的 管理 权限 集中 在 总 部 ， 可 以 由 总 部 的 安全 管理 员 控 制 哪些 
用 户 能 够 访问 该 应 用 系统 ， 能 够 访问 什么 样 的 信息 和 资源 。 


8.6.2 ”应 用 平台 安全 子 系统 设计 思 


为 了 有 针对 性 地 设计 应 用 平台 安全 子 系统 , 我 们 必须 从 分 析 应 用 系统 的 安全 机 制 入 手 ， 
对 其 安全 需求 作出 准确 的 判断 ， 针 对 应 用 系统 中 安全 机 制 比较 薄弱 的 环节 ， 采 取 相应 的 安 
全 措施 ， 以 达到 在 企业 网 络 中 运行 应 用 系统 、 传 输 机 密 数 据 的 目的 。 


8.6.3 应 用 系统 安全 机 制 分 析 


应 用 系统 的 主要 安全 机 制 包 括 以 下 几 点 。 

(1) 用 户 管理 

由 应 用 系统 在 数据 库 中 维护 所 有 能 够 进入 该 应 用 系统 的 用 户 目 录 ， 这 里 的 用 户 是 一 些 
具体 的 人 《如 张 三 、 李 四 ) 或 角色 (如 经 理 、 总 监 等 ) 。 

(2) 资源 目录 管理 

由 应 用 系统 在 数据 库 中 维护 应 用 系统 的 资源 对 象 ， 传 统 的 资源 对 象 概念 包括 应 用 系统 
的 各 个 子 模块 和 各 个 更 小 的 模块 ， 扩 展 的 资源 对 象 概念 包括 对 某 类 信息 的 一 种 处 理 操 作 。 
扩展 的 资源 对 象 概念 一 般 应 用 于 Web 应 用 模式 , 每 一 个 CGI 程序 就 是 一 个 资源 对 象 。 应 用 
系统 中 所 有 资源 对 象 的 集合 称 之 为 资源 目录 。 


(3) 授权 管理 
由 应 用 系统 预先 设 定 用 户 对 资源 对 象 的 访问 权限 ， 如 经 理 可 以 执行 领导 查询 系统 ， 张 
三 可 以 执行 公文 撰写 操作 等 。 


(4) 用 户 身份 认证 

用 户 访问 应 用 系统 时 ， 要 求 用 户 提供 一 个 身份 ， 应 用 系统 根据 用 户 表 检查 该 身份 是 否 
合法 。 当 用 户 自称 的 身份 得 到 认可 之 后 ， 用 户 可 以 进入 应 用 系统 访问 资源 。 

(5) 访问 控制 

当 用 户 通过 身份 认证 之 后 ， 根 据 用 户 身份 及 其 访问 的 资源 对 象 ， 查 找 权 限 库 ， 授 予 用 
户 相应 的 权限 ， 如 允许 张 三 录 入 公文 等 。 

(6) 此 外 ， 在 应 用 系统 中 还 有 传输 加 密 、 审 计 日 志 等 需求 。 

上 述 应 用 系统 的 安全 机 制 及 其 工作 过 程 如 图 8-2 所 示 。 

(1) 应 用 系统 管理 员 通 过 应 用 系统 管理 模块 维护 好 用 户 表 、ACL 表 (各 种 用 户 的 各 
种 权限 组 合 ) 、 资 源 目录 表 、 访 问 控制 表 (用户 对 资源 的 访问 权限 ); 

(2) 用 户 提交 访问 请 求 ， 并 提交 一 个 身份 (如 用 户 名 或 角色 》; 

(3) 应 用 系统 通过 身份 认证 模块 认证 用 户 提交 的 身份 ; 

(4) 应 用 系统 通过 访问 授权 模块 取得 用 户 对 所 访问 资源 的 访问 权限 

(5) 应 用 系统 根据 权限 决定 用 户 的 访问 请 求 是 否 能 执行 ， 完 成 数据 处 理 ; 

(6) 应 用 系统 把 请 求 的 处 理 结果 返回 给 用 户 

(7) 根据 需要 ， 在 上 述 应 用 过 程 中 ， 需 要 采用 传输 加 密 和 审计 等 功能 。 
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图 8-2 应 用 系统 安全 机 制 


8.6.4 应 用 系统 安全 风险 分 析 


应 用 系统 存在 的 安全 风险 主要 有 以 下 几 个 方面 。 

(1) 用 户 身 份 假冒 

非法 用 户 利用 合法 用 户 的 用 户 身 份 ( 用 户 名 、 口 令 ) ,访问 系统 资源 。 其 风险 来 源 主 
要 有 两 点 : 一 是 应 用 系统 的 身份 认证 机 制 比较 薄弱 ， 如 把 用 户 信 息 (用户 名 、 口 令 ) 在 网 
上 明文 传输 ， 造 成 用 户 信 息 泄露 ， 二 是 用 户 自身 安全 意识 不 强 ， 如 使 用 简单 的 口令 ， 或 把 
口令 记 在 计算 机 旁边 。 

(2) 非 授权 访问 

非法 用 户 或 者 合法 用 户 访问 在 其 权限 之 外 的 系统 资源 。 其 风险 来 源 于 两 点 : 一 是 应 用 
系统 没有 正确 设置 访问 权限 ， 使 合法 用 户 通过 正常 手段 就 可 以 访问 到 不 在 权限 范围 之 内 的 
资源 ， 二 是 应 用 系统 中 存在 一 些 后 门 、 隐 通道 、 陷 阱 等 ， 使 非法 用 户 ( 特 别 是 系统 开发 人 
员 ) 可 以 通过 非法 的 途径 进入 应 用 系统 。 

(3) 数据 窃取 

攻击 者 利用 网 络 窃听 工具 窃取 经 由 网 络 传输 的 数据 包 ， 通 过 分 析 获 得 重要 的 信息 。 

(4) 数据 算 改 

攻击 者 算 改 网 络 上 传输 的 数据 包 ， 使 信息 的 接收 方 接 收 到 不 正确 的 信息 。 

(5) 数据 重 放 攻 击 

攻击 者 抓获 网 络 上 传输 的 数据 包 ， 再 发 送 到 目的 地 。 

(6) 抵赖 

舍 息 发 送 方 或 接收 方 抵赖 曾经 发 送 过 或 接收 到 了 信息 。 

在 企业 网 络 中 ， 应 用 系统 的 安全 风险 主要 是 用 户 身份 假冒 和 非 授权 访问 。 同 时 ， 也 要 
求 数据 在 网 络 上 传输 时 必须 有 高 强度 的 加 密 处 理 。 

这 些 安全 风险 必须 采取 “安全 管理 为 主 ， 安 全 技术 为 辅 ”的 措施 解决 。 

在 安全 管理 方面 ， 主 要 是 制定 各 种 安全 管理 制度 ， 加 强 对 用 户 的 安全 意识 和 安全 技术 
的 培训 ， 使 每 一 个 用 户 都 切实 意识 到 安全 问题 的 重要 性 ， 遵 循 安全 管理 制度 ， 结 合 相关 的 
安全 措施 ， 采 取 各 种 安全 手段 ， 如 选用 各 种 复杂 的 口令 、 严 密 保 管 自己 的 用 户 名 和 口令 、 
启动 有 关 的 安全 软件 、 离 开工 位 时 马上 退出 应 用 系统 ， 清 除 自己 的 登录 信息 等 。 
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在 安全 技术 方面 ， 主 要 针对 上 述 安全 薄弱 环节 ， 采 取 相 应 的 安全 措施 ， 如 加 强身 份 认 
证 的 安全 机 制 、 严 格 应 用 系统 的 授权 管理 、 采 取 高 强度 的 加 密 措施 等 。 


8.6.5 ”应 用 安全 平台 需求 分 析 


针对 上 面 提 到 的 应 用 系统 的 安全 风险 ， 传 统 的 解决 方案 主要 是 依赖 应 用 平台 ， 如 数据 
库 、Notes、Web Server 等 自身 的 安全 机 制 ， 在 应 用 系统 开发 时 ， 由 开发 人 员 设 计 安 全 体系 ， 
建立 用 户 、 给 用 户 授 权 。 其 主要 优点 是 与 系统 结合 紧密 ， 但 是 存在 其 他 一 些 问题 : 

(1) 开发 工作 量 大 

据 统 计 ， 传 统 的 应 用 系统 开发 中 ， 安 全 体系 的 设计 和 开发 约 占 开发 量 的 三 分 之 一 。 当 
应 用 系统 需要 在 互联 网 上 运行 时 ， 随 着 安全 需求 的 增加 ， 其 开发 量 占 的 比重 会 更 大 。 

(2) 安全 强度 参差 不 齐 

根据 应 用 平台 的 安全 机 制 的 完善 程度 ， 设 计 、 开 发 人 员 对 安全 体系 的 理解 程度 以 及 投 
入 的 工作 量 ， 不 同 的 应 用 系统 的 安全 强度 会 相去 甚 远 。 

(3) 安全 没有 保障 

目前 很 多 应 用 系统 设计 、 开 发 人 员 的 第 一 概念 是 系统 能 够 运行 ， 而 不 是 系统 能 够 安全 
运行 ， 因 此 在 系统 设计 、 开 发 时 对 安全 考虑 很 少 ， 甚 至 为 了 简单 或 赶 进度 而 有 意 削 弱 安 全 
机 制 。 有 些 应 用 开发 人 员 甚 至 可 能 会 在 应 用 系统 中 设置 一 些 很 难 察觉 的 后 门 、 隐 通道 和 陷 
阱 等 ， 直 接 威 胁 到 应 用 系统 中 数据 的 安全 。 主 要 可 能 有 下 面 的 安全 隐患 。 

@ 身份 认证 机 制 强度 不 够 。 身 份 认证 是 应 用 安全 的 基础 ， 只 有 确保 用 户 只 能 使 用 自己 
的 身份 进入 系统 ， 才 能 保证 整个 应 用 系统 的 授权 控制 可 以 正确 实施 。 在 传统 的 应 用 系统 开 
发 中 ， 包 括 各 种 主流 的 数据 库 平 台 ， 使 用 的 身份 认证 机 制 都 很 简单 ， 如 使 用 明文 的 用 户 名 / 
口令 机 制 等 。 因 此 很 容易 被 攻击 者 通过 侦 听 或 强力 攻击 等 措施 取得 。 

@ 访问 控制 在 程序 中 实现 ， 维 护 比 较 复杂 ， 当 需求 发 生变 化 时 ， 可 能 会 涉及 到 对 应 用 
程序 源 代码 的 修改 ， 如 果 采 用 Web 服务 器 的 访问 控制 机 制 ， 只 能 控制 到 文件 和 目录 一 级 ， 
不 能 完全 满足 需求 ， 特 别 是 B/W/D 应 用 的 访问 控制 需求 。 

@ 没有 采用 数据 传输 加 密 技 术 ， 敏 感 信息 在 网 络 上 明文 传输 ， 极 易 被 窃听 。 有 些 采 用 
了 简单 的 加 密 技 术 ， 很 容易 被 攻破 。 

@ 不 能 保证 系统 没有 后 门 或 隐 通 道 。 数 据 库 服 务 器 和 应 用 服务 器 都 会 有 存在 后 门 和 隐 
通道 的 危险 ， 在 管理 员 不 知 不 觉 的 情况 下 ， 攻 击 者 就 可 以 通过 这 些 后 门 和 隐 通 道 获 取 敏感 
数据 。 

(4) 维护 复杂 

每 个 应 用 系统 的 安全 机 制 各 不 相同 ， 导 致 很 多 重复 性 工作 (如 建立 用 户 账号 等 ) ; 系 
统管 理 员 必须 熟悉 每 个 应 用 系统 独特 的 安全 机 制 ， 工 作 量 成 倍增 加 。 当 某 个 应 用 系统 的 安 
全 策略 发 生变 化 时 ， 往 往 需要 修改 程序 的 源 代码 。 

(5) 用 户 使 用 不 方便 

用 户 使 用 不 同 的 应 用 系统 时 ， 都 必须 做 相应 的 身份 认证 。 当 用 户 需 要 访问 多 个 应 用 系 
统 时 ， 会 有 很 多 用 户 名 、 口 令 需 要 记忆 ， 可 能 会 需要 有 专门 的 密码 本 ， 或 使 用 相同 的 简单 
口令 ， 这 实际 上 将 降低 系统 的 安全 性 。 

为 此 ， 我 们 采用 经 过 认证 的 第 三 方 应 用 安全 平台 ， 为 企业 网 络 的 应 用 系统 提供 安全 服 
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务 平台 和 安全 管理 平台 。 对 这 个 第 三 方 应 用 安全 平台 ， 有 以 下 要 求 。 

@ 应 用 安全 平台 产品 必须 能 够 提供 全 面 的 、 强 壮 的 安全 服务 , 包括 严格 的 用 户 身份 认 
证 、 细 粒度 的 访问 控制 、 高 强度 的 数据 传输 保密 性 和 完整 性 、 详 细 的 审计 记录 等 。 应 用 安 
全 平台 是 应 用 系统 的 安全 入 口 ， 因此, 其 自身 的 安全 性 将 直接 影响 到 整个 应 用 系统 的 安全 。 

@ 应 用 安全 平台 产品 必须 能 够 为 企业 综合 信息 网 现 有 的 , 以 及 以 后 将 要 上 的 各 种 Web 
应 用 和 传统 的 C/S 结 构 应 用 提供 一 个 统一 的 安全 平台 。 

@ 这 个 应 用 安全 平台 同时 也 是 一 个 安全 管理 平台 : 这 个 应 用 安全 管理 平台 必须 提供 全 
局 的 用 户 、 资 源 和 授权 策略 的 管理 功能 。 

各 种 应 用 系统 的 分 散 安全 管理 是 造成 应 用 系统 安全 隐患 的 主要 原因 ， 通 过 集中 管理 ， 
管理 员 通 过 应 用 安全 平台 的 管理 控制 台 就 可 以 看 见 各 种 安全 因素 ， 如 应 用 系统 的 用 户 、 管 
理 的 资源 以 及 赋予 用 户 对 资源 的 访问 权限 , 因此 一 方面 可 以 减轻 系统 安全 管理 员 的 工作 量 ， 
更 主要 的 是 可 以 避免 各 种 安全 隐患 。 

@ 应 用 安全 平台 和 应 用 安全 管理 平台 要 有 机 地 结合 起 来 , 形成 一 个 既 能 为 应 用 系统 提 
供 高 强度 、 可 靠 的 安全 服务 ， 又 能 为 应 用 系统 维护 人 员 提 供 简便 、 快 捷 、 安 全 、 可 靠 的 系 
统 维护 管理 的 应 用 安全 平台 。 


8.7 网络 安全 规划 案例 


下 面 是 一 个 网 络 安全 规划 案例 ， 其 中 A 公司 是 一 家 虚拟 公司 。 由 于 人 们 日 益 关 注 计算 
机 网 络 的 安全 性 ， 公 司 决 定 评审 安全 措施 ， 并 制定 改善 这 些 措施 的 计划 。 通 读 该 计划 可 以 
提供 一 个 很 好 的 思路 和 步骤 ， 帮 助 制定 有 效 的 网 络 安全 规划 。 

8.7.1 背景 简介 

网 络 安全 规划 的 制定 工作 由 IT 经理 (或 者 网 络 管理 员 ) 制定 ， 最 后 得 到 老板 〈 或 者 总 
经 理 ) 的 认可 ， 公 司 其 他 人 员 可 以 提供 建议 和 意见 。 

1. 关于 人 公司 

公司 拥有 20 名 员工 ,专门 提供 旅游 服务 。 员 工 包 括 设 计 师 、 旅 行 代理 和 营销 人 员 以 及 
为 他 们 提供 支持 的 行政 团队 。 企 业 高 层 管理 人 员 包 括 : 合伙 创始 人 总 经 理 和 运营 总 监 ， 以 
及 财务 总 监 。 

2. 规划 目标 

此 安全 规划 是 公司 第 一 次 做 网 络 安全 规划 。 它 将 广泛 关注 公司 所 面临 的 安全 风险 ， 并 
及 时 采取 措施 以 降低 我 们 的 风险 。 在 过 去 的 半年 中 曾 发 生 过 一 次 大 规模 的 病毒 攻击 事件 ， 
希望 通过 合理 的 安全 规划 ， 避 免 那样 的 灾难 再 次 发 生 ! 而 且 ， 和 希望 通过 更 广泛 的 关注 ， 能 
够 预防 目前 尚 不 了 解 的 安全 威胁 。 

不 管 是 时 间 、 人 力 ， 还 是 财力 都 很 有 限 。 继 续 成 功 开拓 业务 是 公司 的 首要 任务 。 项 目 
团队 在 决定 怎样 做 时 仔细 权衡 了 这 些 限制 条 件 ， 并 努力 在 实用 性 、 成 本 、 和 舒适 程度 和 安全 
措施 之 间 实 现 平衡 。 最 后 一 致 认为 ， 无 所 作为 决 非 上 策 。 

安全 规划 已 经 通过 评审 ， 决 定 实施 该 计划 ， 而 且 取 得 公司 领导 的 重视 ， 把 此 计划 作为 
公司 优先 级 较 高 的 一 项 任务 来 进行 。 
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3. 规划 文档 传播 

本 安全 规划 文档 中 包含 重要 的 安全 信息 , 因而 它 属于 机 密 文档 。 不 能 随意 放置 或 复印 。 也 
不 能 通过 电子 邮件 发 送 或 将 其 存储 在 服务 器 上 ， 只 使 用 书面 副本 。 授 权 以 下 人 员 查 阅 本 文档 : 

总 经 理 

财务 总 监 

经 理 助理 

公司 律师 

安全 顾问 

4. 项 目 团队 

项 目 团队 包括 : 

项 目 经 理 ( 运 营 总 监 ) 

财务 总 监 

经 理 助理 

安全 顾问 对 我 们 的 员工 提出 意见 ， 并 参与 部 分 意见 的 实施 。 

此 外 ， 我 们 还 与 销售 、 营 销 和 设计 人 员 进 行 协商 ， 获 取 他 们 对 自己 希望 的 情况 以 及 计 
划 可 能 会 对 他 们 造成 的 影响 提出 反馈 意见 。 
8.7.2 评估 结果 

经 过 我 们 的 评估 ， 得 出 了 以 下 结果 。 

1. 技术 和 知识 

我 们 的 技术 安全 顾问 熟悉 我 们 的 系统 和 公司 安全 , 他 将 为 我 们 提供 专家 级 指导 。 但 是 ， 
我 们 需要 尽 可 能 多 地 做 工作 ， 以 让 我 们 自己 尽 可 能 多 地 掌握 这 方面 的 知识 。 这 样 做 还 有 助 
于 我 们 节省 资金 。 

项 目 团队 的 每 位 成 员 均 阅读 了 Microsoft 和 Intemet 工程 任务 小 组 (IETF) 提供 的 安 
全 计划 指南 ， 以 便 做 好 准备 。 公 司 员工 都 具备 相当 丰富 的 技术 知识 ， 但 是 绝 大 多 数 员工 都 
将 计算 机 看 作 完 成 工作 的 工具 ， 而 对 计算 机 的 工作 原理 知之 甚 少 。 

2. 我 们 的 网 络 和 系统 

下 面 是 我 们 的 技术 设备 清单 。 

台式 机 : 22 台 〔 每 位 员工 一 台 ， 另 外 两 台 旧 计算 机 用 作 打 印 服 务 器 〉; 

便携 式 计算 机 : 6 台 〔 每 位 总 监 一 台 ， 一 台 供 财务 总 监 使 用 ， 另 有 三 台 供 销售 团队 使 
用 ) ; 

打印 机 : 2 台 《【〈 一 台 高 端 绘图 仪 和 一 台 用 于 常规 用 途 的 打印 传真 多 功能 机 ) ; 

服务 器 : 1 台 ( 一 台 运 行 Windows Small Business Server 2003 并 且 管 理 Intemet 连接 、 
电子 邮件 以 及 我 们 的 客户 数据 库 的 计算 机 ) ; 

Intemet 连接 : 1.5 Mbps 电缆 调制 解 调 器 连接 。 服 务 器 和 几 台 计算 机 通过 100 Mbps 
Cat5 以 太 网 电缆 连接 。 其 他 计算 机 通过 具有 访问 端口 的 802.11g 无 线 网 络 连接 。 

除 两 台 打印 机 服务 器 和 两 台 行政 用 计算 机 运行 Windows 98 外 ， 其 他 所 有 计算 机 均 运 
行 Windows XP Professional。 
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3. 安全 

我 们 运行 了 Microsoft Baseline Security Analyzer。 通 过 执行 这 些 措施 ， 结 果 如 下 。 

(1) 病毒 防护 : 6 台 计算 机 上 没有 病毒 防护 ; 4 台 计 算 机 上 没有 最 新 的 病毒 防护 ， 普 
遍地 ， 大 多 数 用 户 都 能 发 觉 病毒 ， 但 是 不 太 清 楚 如 何 能 够 防止 病毒 。 

(2) 垃圾 邮件 筛选 软件 : 许多 用 户 开 始 抱怨 垃圾 邮件 ， 但 是 尚未 采取 防护 措施 。 

(3) 防火 墙 : 我 们 原 以 为 ISP 的 路 由 器 中 包含 防火 墙 ， 但 事实 上 没有 ; 因此 ， 我 们 
没有 防火 墙 。 

(4) 更 新 : 所 有 Windows XP Professional 系统 均 为 最 新 ， 因 为 该 系统 可 以 自动 检查 
和 下 载 更 新 。 但 是 ， 几 台 计 算 机 上 安装 的 Microsoft Office 需要 更 新 , 并 且 安 装 Windows 
98 的 计算 机 根本 就 没有 更 新 。 

(5) 密码 : 随机 抽样 调查 发 现 ， 大 多 数 人 根本 不 使 用 密码 ,或 者 将 密码 写 在 便 特 上 并 
贴 在 计算 机 旁边 。 特别 是 ， 没 有 一 台 便 携 式 计算 机 具有 密码 保护 。 

(6) 物理 安全 : 窗 锁 、 门 和 报警 器 状况 良好 。 但 是 ， 所 有 计算 机 的 机 箱 上 均 未 标明 
序列 号 ， 并 且 我 们 没有 序列 号 记录 。 我 们 还 注意 到 ， 所 有 人 “包括 Tracy 和 两 位 总 监 ) 
都 在 使 用 同一 打印 机 ， 这 意味 着 存在 偶然 将 机 密 文 档 遗 忘 在 打印 机 旁 的 风险 。 

(7) 便携 式 计算 机 : 所 有 便携 式 计 算 机 均 装 在 印 有 醒目 制造 商 徽标 的 便携 包 中 ， 并 且 
没有 安全 锁 。 

(8) 无 线 网 络 : 我 们 只 是 建立 了 网 络 并 使 其 能 够 运行 ， 因 此 没有 人 改动 过 任何 设置 。 
但 是 ， 这 证 明 我 们 的 无 线 网 络 对 可 以 查找 无 线 网 络 并 且 自 由 使 用 Internet 连接 的 外 部 人 员 
是 开放 的 。 

(9) Web 浏览 : 每 个 人 都 认为 快速 Interet 访问 益处 多 多 , 但 是 他 们 一 直 都 在 使 用 ， 
而 没有 对 风险 问题 考虑 太 多 。 通过 内 容 筛选 审核 ， 我 们 发 现 有 20% 的 Web 浏览 与 工作 
无 关 。 我 们 并 没有 关于 Web 浏览 的 规定 ， 并 且 没 有 人 采取 任何 安全 措施 。 

(10) 备份 : 我 们 每 周 都 将 服务 器 上 的 数据 备份 到 数字 音频 磁带 (DAT) 驱动 器 上 ， 
但 是 没有 测试 是 否 能 够 还 原 数据 ; 除非 有 人 记得 将 本 地 文件 复制 到 服务 器 上 ， 和 否则 将 不 会 
备份 这 些 文件 ， 这 实在 不 能 令 人 满意 。 服务 器 包含 有 我 们 的 主要 客户 数据 库 ， 因 此 经 过 认 
真 测试 的 备份 和 在 非 现 场 位 置 保存 一 个 备份 副本 都 同样 必 不 可 少 。 

4. 优先 级 

根据 我 们 的 评估 ， 安 全 优先 级 如 下 。 

(1) 阻止 入 侵 者 
安装 防火 墙 
安装 和 更 新 病毒 防护 
增强 无 线 网 络 
使 用 运行 Windows XP Professional (SP2) 的 计算 机 更 换 4 台 运 行 Windows 98 的 
计算 机 
@ 确保 将 所 有 计算 机 都 配置 为 自动 更 新 
@ ”对 用 户 进行 培训 并 说 明 相 关 策 略 
(2) 预防 盗窃 
@ 帮助 保护 便携 式 计算 机 
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@ 盘点 和 标记 资产 

e@ 将 服务 器 搬 到 安全 且 可 上 锁 的 房间 

@ 以 物理 方式 保护 台式 机 和 便携 式 计算 机 
(3) 预防 灾难 

@ 制定 更 好 的 非 现场 存储 备份 方案 

e@ 确保 备份 用 户 的 本 地 数据 

e@ 非 现场 存储 重要 的 书面 文档 副本 

e@ 通过 执行 还 原 操作 来 定期 测试 备份 
(4) 内 部 安全 性 和 机 密 性 

e 制定 强 密码 策略 

@ 保证 财务 部 、 人 力 资 源 部 和 总 监 所 使 用 打印 机 的 安全 

e 检查 档案 柜 和 机 密 文 档 的 安全 
8.7.3 安全 计划 

进行 评估 后 ， 我 们 制定 出 以 下 安全 计划 。 

1， 行 动 事项 

(1) 选择 、 购 买 和 安装 硬件 防火 墙 或 让 ISP 或 技术 顾问 提供 一 个 ) 。 

(2) 在 服务 器 和 所 有 台式 机 上 启用 Windows 防火 墙 。 

(3) 确保 在 所 有 计算 机 上 安装 防 病毒 软件 ， 并 且 设 置 为 自动 更 新 病毒 定义 。 

(4) 将 运行 Office Outlook 2003 的 计算 机 配置 为 使 用 垃圾 邮件 筛选 功能 。 选择 、 购 
买 并 在 邮件 服务 器 上 安装 垃圾 邮件 筛选 软件 〈 如 果 必 要 ) 。 

(5) 在 无 线 网 络 上 ， 禁 用 服务 设置 标识 符 (SSID) 广播 ， 选择 和 配置 有 意义 的 SSID， 
启用 WPA 加 密 , 启用 MAC 筛选 , 并 将 访问 点 配置 为 只 允许 来 自 办 公 室 中 台式 机 和 便携 
式 计算 机 的 流量 。 

(6) 使 用 运行 Windows XP Professional (SP2) 的 计算 机 更 换 四 台 运 行 Windows 98 
的 计算 机 。 

(7) 查看 所 有 计算 机 以 确保 均 已 完全 更 新 ， 并 且 将 它们 设置 为 自动 刷新 这 些 更 新 。 

(8) 购买 新 的 且 无 明显 特征 的 便携 式 计算 机 包 和 锁 。 

(9) 确保 标记 所 有 台式 机 、 便 携 式 计算 机 和 它们 的 组 件 。 

(10) 记录 所 有 序列 号 。 

(11) 为 台式 机 购买 和 安装 办 公 桌 安全 锁 。 

(12) 将 服务 器 放 在 一 间 大 小 合适 且 可 以 上 锁 的 房间 中 。 

(13) 检查 备份 和 还 原 过 程 。 在 备份 之 前 ， 确 保定 期 在 服务 器 上 存储 用 户 数据 或 复制 用 户 
数据 ;实施 每 日 备份 ;确保 每 周 将 完全 备份 转移 至 非 现场 位 置 一 次 ; 确保 备份 受到 密码 保护 ， 
并 且 进 行 了 加 密 。 检查 书面 文档 ， 并 且 复 印 在 安全 的 非 现场 位 置 存储 的 重要 文档 。 

(14) 将 Windows Small Business Server 2003 和 各 台 计 算 机 配置 为 强制 使 用 非常 强 的 
密码 。 与 用 户 进行 讨论 ， 确 定 可 以 接受 的 方便 性 和 安全 性 之 间 的 平衡 。 

(15) 将 工作 站 配置 为 如 果 工 作 站 处 于 空闲 状态 五 分 钟 以 上 ， 注 销 用 户 ， 并 且 再 次 登 
录 时 需要 密码 。 
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(16) 为 财务 部 、 人 力 资源 部 和 两 位 总 监 购 买 价格 便宜 的 打印 机 ， 以 便 他 们 可 以 安全 
地 打印 机 密 文 档 。 

2. 响应 计划 

如 果 出 现 违 反 安 全 问题 , 我 们 将 联系 安全 顾问 。 他 的 公司 在 办 公 期 间 使 用 一 个 1 小 时 
响应 策略 ,在 所 有 其 他 时 间 使 用 一 个 4 小 时 响应 策略 来 解决 各 种 严重 事件 , 例如 感染 病毒 。 
此 外 ， 财 务 总 监 定期 监控 服务 器 和 防火 墙 ， 确 保 不 会 出 现 违 反 安全 的 情况 。 

3. 持续 维护 和 遵守 规程 

财务 总 监 负责 日 常安 全 ， 运 营 总 监 全 面 负责 。 财务 总 监 将 继续 钻研 该 主题 ， 订 阅 
JMicrosoft 和 防 病毒 软件 提供 商 的 安全 公告 ， 并 且 定 期 与 安全 顾问 联系 ， 以 监督 是 否 符合 新 
策略 。 

每 个 月 ， 财 务 总 监 将 确保 更 新 Windows 和 我 们 的 防 病毒 软件 ， 以 及 备份 和 还 原 过 程 
正常 运行 。 他 也 将 负责 确保 正确 配置 和 更 新 新 的 计算 机 设备 。 

经 理 助理 负责 确保 对 新 加 入 公司 的 员工 就 公司 的 安全 策略 和 过 程 进行 全 面 培训 。 

将 在 6 个 月 后 全 面 正式 地 检查 此 计划 。 
8.7.4 资源 和 预算 

1. 外 部 资源 

(1) 公司 律师 审阅 我 们 重新 编写 的 员工 策略 

(2) 安全 顾问 在 制定 此 计划 期 间 提供 建议 

(3) 安全 顾问 帮助 实施 

2. 内 部 资源 

尽管 我 们 不 会 直接 向 自己 的 员工 支付 报酬 ， 但 是 为 了 明确 资源 的 分 配 以 及 这 项 工作 可 
占用 的 时 间 ， 我 们 已 经 授权 使 用 上 述 的 内 部 员工 。 

3. 资产 

除了 有 形 财 产 外 ， 我 们 的 主要 资产 包括 : 

(1) 产品 设计 和 营销 宣传 材料 

(2) 供应 商 合 同 记录 

(3) 电子 邮件 数据 库 和 过 去 电子 邮件 消息 的 存档 

(4) 销售 订单 和 客户 数据 库 

(5) 用 于 在 线 预订 和 在 线 预约 的 业务 系列 (LOB) 软件 

(6) 存放 在 不 同 档案 柜 中 的 书面 法 律 记录 

所 有 这 些 资产 都 被 视 为 机 密 ， 只 有 在 必要 时 才能 使 用 。 此 外 ， 它 们 需要 受到 保护 ， 并 
且 尽 可 能 安全 地 进行 备份 。 

4. 风险 

我 们 相信 风险 主要 分 为 4 类 。 

(1) 入 侵 者 。 入 侵 者 包括 病毒 、 蠕 虫 、 对 我 们 计算 机 资源 或 Intemet 连接 的 攻击 和 和 恶 
意 使 用 。 这 些 风 险 是 任何 使 用 连接 到 Intemet 的 计算 机 的 用 户 都 要 面临 的 风险 。 高 风险 ， 
高 优先 级 。 

(2) 外 部 威胁 《竞争 对 手 、 心 怀 不 满 的 前 员工 、 非 法 谋 利 者 和 盗窃 者 ) 。 他 们 可 能 使 
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用 与 黑客 相同 的 工具 ， 但 却 是 有 意 攻击 我 们 ， 他 们 也 有 可 能 引诱 员工 提供 机 密 信息 ， 或 其 
至 使 用 盗 取 的 资料 来 勒索 或 旗 毁 我 们 。 我 们 需要 保护 资产 的 物理 安全 和 电子 安全 。 高 风险 ， 
高 优先 级 。 

(3) 内 部 威胁 。 无 论 是 意外 的 还 是 有 意 的 ， 员 工 都 有 可 能 误 用 他 们 的 权限 来 泄露 机 密 
信息 。 低 风险 ， 低 优先 级 。 

(4) 事故 和 灾难 。 火 灾 、 洪 水 、 意 外 删除 、 硬 件 故障 和 计算 机 崩溃 。 低 风险 ， 中 等 优 
先 级 。 

5. 策略 变化 

经 理 助理 将 更 新 员工 手册 ， 以 包括 关于 以 下 方面 的 新 策略 : 

(1) 电子 邮件 和 Intemet 的 可 接受 用 途 ; 

(2) 使 用 密码 ; 

(3) 哪些 人 员 可 以 将 公司 财产 带 出 办 公 室 。 第 一 份 草稿 完成 后 ， 公 司 总 监 和 律师 会 在 
实施 之 前 进行 审阅 。 

6. 用 户 培训 

由 于 这 些 变 化 , 我 们 希望 最 多 提供 两 个 小 时 的 时 间 ， 按 小 组 形式 进行 用 户 培训 。 培训 
内 容 包 括 : 

(1) 安全 的 重要 性 ; 

(2) 密码 ; 

(3) 便携 式 计算 机 安全 ; 

(4) 病毒 防护 ; 

(5) 安全 的 Intemet 浏览 ; 

(6) 从 服务 器 更 新 软件 和 操作 系统 ; 

(7) 介绍 新 的 员工 策略 ; 

(8) 确保 员工 明白 不 遵守 策略 的 后 果 ; 

(9) 评估 员工 对 新 策略 的 了 解 程度 ; 

(10) 定期 检查 新 策略 的 实施 情况 。 

7. 项 目 时 间 表 和 责任 

(1) 前 三 项 首要 任务 ， 即 防火 墙 、 病 毒 防护 和 增强 无 线 网 络 ， 将 需要 我 们 的 安全 顾问 
特别 注意 。 

(2) 其 余 的 任务 将 由 我 们 自己 的 员工 按照 优先 顺序 完成 。 我 们 预计 前 三 项 首要 任务 将 
在 一 个 周 内 完成 ， 其 余 的 任务 将 在 30 天 内 完成 。 

(3) 财务 总 监 负责 购买 和 实施 技术 革新 。 经 理 助理 负责 所 有 的 策略 和 培训 要 求 。 运营 
总 监 将 对 项 目 进行 指导 ， 并 负责 出 现 的 任何 其 他 任务 。 


8.8 安全 服务 


前 面 从 技术 层面 介绍 了 企业 网 络 应 该 采取 的 安全 措施 , 主要 从 划分 安全 网 络 拓扑 结构 、 
设置 防火 墙 网 关 、 建 设 企业 级 防 病毒 体系 、 正 确 配 置 操作 系统 和 建立 应 用 安全 平台 等 方面 
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保证 信息 网 络 的 安全 。 

但 是 ， 这 些 措施 仅仅 是 信息 网 络 安全 的 基本 保证 ， 更 重要 的 是 要 正确 应 用 好 这 些 安全 
技术 ， 采 取 相 关 的 辅助 措施 ， 充 分 发 挥 其 效益 。 信 息 网 络 的 安全 是 一 个 动态 发 展 的 系统 工 
程 和 社会 工程 ， 需 要 长 期 、 持 久 的 巨大 的 财力 、 物 力 、 人 力 的 投入 ， 需 要 从 组 织 、 管 理 等 
方面 也 采取 强 有 力 的 措施 ， 才 能 确保 信息 网 络 在 Internet 的 大 洋 中 永远 坚固 、 安 全 、 可 靠 。 

1. 网 络 安全 是 动态 发 展 的 问题 

从 历史 发 展 来 看 ， 安 全 是 一 个 随 着 信息 网 络 发 展 而 发 展 的 现实 问题 。DOS 时 代 的 安全 
基本 是 主机 的 物理 安全 问题 , 局 域 网 的 安全 则 扩展 到 了 整个 企业 范围 , 而 Intemet 时 代 的 信 
息 网 络 安全 面 对 的 则 是 来 自 全 世界 的 网 络 探险 者 、 黑 客 、 商 业 竞争 对 手 ， 甚 至 是 非常 亲密 
的 合作 伙伴 的 宕 探 、 侦 测 、 窃 听 、 欺 骗 等 各 种 各 类 的 攻击 。 

从 现状 来 看 ，Intemet 网 络 安全 问题 也 是 日 新 月 异 。 据 有 关 统 计数 据 显示 , 在 2001 年 1 
月 份 ， 全 球 发 生 了 大 约 8800 万 起 有 入 侵 企图 的 黑客 事件 ， 比 2000 年 12 月 份 增长 了 58%; 
攻击 源 国家 增长 了 13%， 从 原来 的 134 个 国家 增长 为 152 个 国家 。 国 防 科技 大 学 计算 机 学 
院 所 作 的 研究 课题 表明 ， 目 前 我 国 95% 与 因特网 相 联 的 网 络 管理 中 心 都 遭 到 过 境内 外 黑客 
的 攻击 或 侵入 ， 其 中 银行 、 金 融和 证 券 机 构 是 黑客 攻击 的 重点 ， 而 如 此 大 面积 ， 且 涉及 到 
各 行 各 业 的 情况 实 属 罕见 。 以 网 络 病毒 为 例 ， 全 球 每 天 都 有 几 十 个 新 病毒 产生 ， 最 近 ， 
“FunLove”、“Happy Time”、“ 红 色 代码 ”、“ 蓝 色 代码 ”、“SirCam”、“Nimda” 
等 病毒 更 是 个 个 来 势 测 济 ， 防 病毒 三 商 的 病毒 库 几 乎 每 隔 几 天 就 得 升级 ， 而 Microsoft 
Windows 系列 操作 系统 则 是 补丁 包 刚 宣布 又 出 来 了 新 的 漏洞 。 

从 发 展 趋势 来 看 ， 信 息 网 络 的 安全 日 益 显 示 出 了 其 重要 性 。 不 同 国家 、 地 区 之 间 的 政 
治 、 军 事 、 文 化 等 冲突 也 动 辑 引发 一 轮 又 一 轮 的 网 络 攻 击 战争 ， 如 中 美 、 中 日 、 大 陆 和 台 
湾 之 间 的 多 次 冲突 都 曾 爆发 了 大 规模 的 有 组 织 的 网 络 攻击 。 在 这 些 “ 战 争 ” 中 ， 没 有 任何 
国家 、 地 区 成 为 赢家 ， 而 最 大 的 受害 者 莫 过 于 无 率 的 企业 ， 因 为 网 络 遭 受 攻击 给 企业 带 来 
了 很 大 的 经 济 损失 和 非常 恶劣 的 社会 影响 。 这 些 有 组 织 、 有 目的 的 网 络 攻击 行为 一 方面 提 
醒 了 网 络 建设 者 要 始终 把 安全 问题 放 在 首位 , 另 一 方面 也 将 大 大 促进 网 络 攻击 技术 的 发 展 。 

2. 信息 网 络 的 安全 实施 是 一 个 系统 工程 

对 一 个 信息 网 络 而 言 ， 安 全 问题 涉及 身份 认证 、 访 问 控制 、 数 据 保 密 性 、 数 据 完整 性 、 
抗 抵赖 、 审 计 、 可 用 性 和 可 靠 性 等 多 种 基本 的 安全 服务 ， 涉 及 ISO/OSI 所 有 的 七 个 协议 
次 〈 物 理 层 、 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 和 应 用 层 ) ， 覆 盖 了 信息 网 络 中 
物理 环境 、 通 信 平 台 、 网 络 平台 、 主 机 平台 和 应 用 平台 等 几 个 系统 单元 。 因 此 ， 这 是 一 个 
立体 的 、 多 方位 、 多 层次 的 系统 问题 ， 在 规划 、 设 计 、 实 施 信息 网 络 的 安全 系统 时 也 必须 
用 系统 工程 的 方法 论 来 考虑 。 

很 多 人 眼中 的 网 络 安全 就 是 防火 墙 ， 这 是 非常 不 全 面 的 。 因 为 防火 墙 仅仅 是 在 网 络 平 
台 一 个 系统 单元 的 安全 技术 ， 仅 解决 了 网 络 层 的 部 分 安全 需求 ， 提 供 的 安全 服务 只 有 网 络 
层 的 节点 认证 、 访 问 控制 等 ， 不 能 解决 整个 信息 系统 所 有 的 安全 需求 。 比 如 说 ， 一 般 的 公 
开 Web 服务 器 都 会 采用 防火 墙 来 保护 ， 可 以 利用 防火 墙 限 制 “ 所 有 用 户 都 只 能 访问 Web 
服务 器 的 HTTP 服务 〈TCP 服务 端口 是 80) ”。 在 这 种 情况 下 ， 从 防火 墙 外 部 到 Web 服 
务 器 的 HITP 服务 的 通道 是 畅通 的 ， 如 果 Web 服务 器 的 HTTP 服务 存在 安全 漏洞 ， 攻 击 者 
依然 可 以 利用 “被 允许 的 ”服务 通道 对 Web 服务 器 进行 攻击 。 在 黑客 攻击 中 有 很 大 部 分 是 
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CGI 攻击 ， 其 原理 即 如 此 。 

在 信息 网 络 中 , 需要 对 外 开放 的 服务 相当 多 , 如 HTTP、EMAIL、 DNS、 FTP、TELNET 
等 ， 以 及 与 数据 库 应 用 相关 的 各 种 服务 ， 这 些 服 务 都 存在 很 多 安全 问题 ， 需 要 在 配置 时 综 
合 应 用 各 种 安全 技术 加 以 防范 。 
因此 ， 我 们 在 规划 、 设 计 、 维 护 、 管 理 信 息 网 络 的 安全 系统 时 ， 必 须 从 分 析 信息 网 络 
的 安全 风险 出 发 ， 考 虑 不 同系 统 单元 、 不 同 协议 层次 所 存在 的 安全 风险 ， 所 需要 的 安全 服 
务 ， 采 用 相应 的 安全 技术 ， 使 不 同 的 安全 技术 、 安 全 产品 互相 补充 、 互 相 完 善 ， 保 证 信息 
网 络 的 安全 。 

3. 信息 网 络 的 安全 是 一 个 社会 工程 

在 网 络 安全 业界 ， 有 一 个 广 为 传 播 的 说 法 : “三 分 技术 ， 七 分 管理 ”。 安 全 技术 和 安 
全 产品 仅仅 是 为 信息 网 络 实施 安全 管理 提供 了 技术 层面 的 手段 ， 而 这 些 技术 和 产品 能 否 起 
到 其 应 有 的 作用 ， 更 大 程度 取决 于 对 这 些 安全 技术 的 应 用 ， 对 安全 产品 的 配置 ， 以 及 在 信 
息 网 络 应 用 环境 下 硬件 设备 、 软 件 系 统 和 用 户 等 各 种 综合 因素 的 作用 。 

在 信息 网 络 中 ， 用 户 接口 是 至 关 重要 的 。 在 采取 了 各 种 复杂 的 安全 技术 之 后 ， 如 果 系 
统 的 最 终 用 户 没有 足够 的 安全 意识 和 安全 常识 ， 不 能 正确 应 用 各 项 安全 措施 ， 那 么 其 后 果 
要 么 是 安全 系统 不 能 工作 ， 影 响 信息 网 络 的 正常 运转 ， 要 么 是 安全 系统 演出 空城 计 ， 不 能 
起 实际 的 作用 (如 在 一 个 安全 系统 中 使 用 简单 的 用 户 密码 〉。 

因此 ， 在 安全 系统 建设 工程 中 ， 必 须 充分 重视 用 户 的 安全 ， 加 强 对 用 户 安 全 意识 的 培 
训 ， 加 强 安全 常识 的 教育 ， 加 强 安全 系统 的 使 用 培训 。 

综 上 ， 实 施 信息 网 络 安全 系统 需要 巨大 的 、 持 久 的 投入 ， 同 时 ， 这 也 是 一 项 非常 专业 、 
系统 的 工程 ， 仅 仅 依靠 用 户 自身 的 技术 力量 很 难 顺利 完成 。 我 们 建议 用 户 在 建设 自己 的 信 
息 网 络 时 ， 选 择 一 家 或 几 家 专业 的 安全 厂商 作为 长 期 的 合作 伙伴 ， 为 用 户 提 供 周 到 的 安全 
服务 ， 保 证 信息 网 络 的 安全 、 可 靠 、 正 常 的 运行 。 

安全 服务 的 内 容 包 括 以 下 几 方 面 。 

安全 咨询 :最 新 发 现 的 各 种 安全 风险 ， 如 系统 漏洞 、 攻 击 手段 、 新 的 病毒 ， 安 全 技术 
的 最 新 发 展 ， 新 的 安全 技术 ， 新 的 攻击 防御 和 检测 手段 ， 安 全 技术 的 发 展 趋势 ， 信 息 网 络 
安全 系统 建设 的 方法 和 步骤 等 。 

安全 评估 : 由 资深 安全 工程 师 针 对 用 户 的 信息 网 络 ， 分 析 其 安全 需求 和 现 有 网 络 中 的 
薄弱 安全 环节 。 分 静态 评估 和 动态 评估 两 类 ， 评 估 方 法 有 所 不 同 。 

静态 评估 : 根据 用 户 提供 的 网 络 拓扑 结构 、 应 用 模式 和 管理 现状 ， 从 理论 上 分 析 用 户 
信息 网 络 中 可 能 存在 的 安全 隐患 、 网 络 的 安全 薄弱 环节 ， 包 括 网 络 拓扑 结构 是 否 能 够 满足 
安全 需要 、 重 要 服务 器 和 网 段 是 否 得 到 足够 的 安全 保护 、 用 户 信息 系统 中 应 用 系统 的 应 用 
模式 是 否 足 够 安全 等 。 静 态 评 估 方 法 可 以 对 信息 网 络 中 当前 的 安全 隐患 作出 比较 科学 的 分 
析 ， 也 可 以 较 好 地 解决 信息 网 络 发 展 的 一 些 安全 问题 ， 但 是 也 可 能 会 出 现 一 些 偏差 ， 如 过 
高 或 过 低地 估计 在 某 方面 的 安全 问题 。 

动态 评估 : 在 用 户 书面 授权 和 现场 监督 下 ， 采 用 专业 的 网 络 安全 扫描 和 评估 工具 ， 对 
用 户 的 信息 网 络 中 的 各 种 网 络 设备 、 操 作 系 统 、 网 络 及 应 用 服务 进行 扫描 和 分 析 ， 并 全 面 
分 析 信息 网 络 中 各 种 网 络 设备 、 操 作 系统 、 应 用 系统 和 安全 系统 的 日 志 ， 提 出 针对 整个 信 
息 网 络 的 安全 风险 评估 报告 及 安全 建议 报告 。 
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安全 策略 制定 : 根据 用 户 信息 网 络 的 安全 需求 ， 制 定 统一 的 安全 策略 。 

安全 策略 定义 : 安全 策略 是 制定 安全 制度 、 采 用 某 种 安全 技术 、 购 买 相应 安全 产品 等 
各 种 行为 的 依据 和 指导 准则 。 它 包括 了 一 系列 的 法 规 、 标 准 和 惯例 ， 决 定 了 一 个 组 织 怎样 
管理 、 保 护 和 分 发 信息 网 络 内 部 的 敏感 信息 ， 反 映 出 在 用 户 访问 信息 网 络 资源 时 受到 什么 
样 的 控制 。 

影响 安全 策略 制定 的 因素 : 包括 环境 和 风险 两 方面 的 因素 ， 其 中 环境 又 包括 网 络 拓扑 
结构 、 系 统 和 网 络 设备 、 应 用 程序 、 用 户 等 ， 风 险 则 包括 受到 攻击 的 可 能 性 和 受到 攻击 之 
后 的 损害 程度 。 制 定安 全 策略 时 要 充分 分 析 各 方面 的 环境 和 风险 因素 。 此 外 ， 还 要 考虑 企 
业 的 财力 、 技 术 实 力 等 方面 的 因素 。 在 整个 信息 网 络 中 ， 要 制定 、 采 取 一 套 统一 、 完 整 的 
安全 策略 。 对 信息 网 络 而 言 ， 需 要 采取 什么 样 的 安全 措施 ， 在 什么 时 候 、 什 么 地 方 使 用 什 
么 样 的 安全 技术 ， 都 需要 由 一 个 统一 的 安全 策略 作为 指导 。 在 信息 网 络 的 不 同 平台 、 不 同 
部 分 ， 都 需要 在 一 个 统一 的 安全 策略 指导 下 ， 采 取 相 应 的 安全 措施 。 安 全 策略 应 由 信息 网 
络 的 最 高 管理 层 制定 ， 并 要 求 信息 网 络 的 所 有 用 户 遵 照 执行 。 

安全 系统 规划 : 利用 科学 的 方法 论 和 安全 漏洞 扫描 、 分 析 工 具 ， 分 析 信 息 网 络 的 网 络 、 
应 用 、 管 理 的 现状 和 安全 风险 ， 全 面 、 细 致 地 分 析 信息 网 络 的 安全 需求 ， 采 取 各 种 相关 的 
安全 技术 ， 提 出 针对 信息 网 络 的 全 面 的 、 科 学 的 安全 体系 规划 和 完整 、 可 行 的 整体 安全 解 
决 方案 。 安 全 系统 规划 的 服务 内 容 包括 安全 策略 制定 和 部 分 安全 评估 的 内 容 ， 需 要 在 安全 
策略 的 指导 下 ， 根 据 安全 评估 的 结果 ， 为 企业 提供 全 面 的 整体 安全 系统 规划 。 

安全 系统 集成 : 根据 安全 系统 规划 和 统一 的 安全 策略 ， 根 据 信 息 网 络 的 特点 ， 把 不 同 
安全 厂商 的 不 同安 全 技术 和 产品 进行 集成 。 

安全 系统 维护 : 国内 很 多 用 户 在 购买 安全 产品 之 后 ， 由 于 没有 足够 的 重视 ， 或 因为 技 
术 力 量 较 差 而 不 能 正确 运用 ， 安 全 产品 往往 没有 配置 任何 的 安全 规则 ， 沦 落 为 一 种 摆设 。 
在 这 种 情况 下 ， 信 息 网 络 的 安全 产品 “有 不 如 无 ”: 既 不 能 为 信息 网 络 提供 基本 的 安全 防 
护 ， 又 影响 信息 网 络 的 性 能 。 

事实 上 , 信息 网 络 安全 产品 的 正确 配置 比 产品 自身 要 更 为 重要 。 一 个 功能 相对 较 简单 、 
单一 的 产品 ， 如 果 进 行 完善 的 配置 ， 充 分 发 挥 出 其 安全 功能 ， 其 发 挥 的 作用 将 远 远 大 于 一 
个 功能 很 复杂 然而 配置 出 现 失误 的 庞大 的 产品 。 当然， 在 选择 安全 产品 时 ， 也 必须 考虑 
安全 产品 自身 的 安全 性 。) 

另外 ， 在 整个 信息 网 络 中 ， 每 一 个 安全 设备 在 配置 时 都 必须 考虑 其 在 整个 安全 体系 中 
的 位 置 和 效果 。 安 全 体系 中 不 同 的 安全 产品 是 互相 作用 、 互 相 补充 的 ， 任 何 一 个 安全 设备 
的 管理 员 都 必须 对 整个 安全 体系 有 所 了 解 。 

此 外 ， 安 全 产品 的 配置 必须 根据 安全 需求 和 安全 风险 的 变化 及 时 进行 更 新 。 网 络 安全 
是 动态 发 展 的 ， 安 全 管理 员 还 必须 及 时 掌握 网 络 安全 的 发 展 趋势 ， 了 解 最 新 的 安全 风险 ， 
根据 需要 修改 安全 系统 的 配置 ， 随 时 保证 信息 网 络 的 安全 。“ 从 一 而 终 ”的 配置 是 非常 不 
安全 的 。 

安全 系统 的 维护 包括 自 有 安全 产品 的 维护 ， 也 包括 非 自 有 安全 产品 的 维护 ; 包括 由 自 
己 实施 的 安全 项 目的 维护 ， 也 包括 不 是 自己 实施 的 安全 项 目的 维护 。 

安全 培训 : 分 用 户 级 、 应 用 开发 者 级 和 管理 员 级 培训 三 类 。 

用 户 级 培训 : 信息 网 络 安全 系统 是 一 项 社会 工程 ， 信 息 网 络 的 最 终 用 户 对 安全 的 认识 
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直接 影响 到 信息 网 络 的 安全 。 用 户 级 培训 是 对 最 终 用 户 的 安全 意识 、 安 全 技术 的 培训 ， 使 
信息 网 络 的 每 一 个 用 户 都 能 够 正确 利用 现 有 安全 技术 ， 保 护 自 己 ， 保 护 信息 网 络 。 

应 用 开发 者 级 培训 : 指导 应 用 系统 的 设计 人 员 、 开 发 人 员 树 立 全 面 的 安全 意识 、 正 确 
利用 应 用 平台 的 安全 功能 和 应 用 安全 平台 的 安全 功能 ， 开 发 出 安全 的 应 用 系统 。 

管理 员 级 培训 : 对 系统 管理 员 的 安全 技术 培训 、 安 全 专业 知识 的 培训 ， 培 训 对 象 包括 
网 络 管理 员 、 服 务 器 管理 员 、 应 用 系统 管理 员 、 安 全 系统 管理 员 等 。 

应 急 安 全 服务 : 在 紧急 情况 下 ， 由 安全 工程 师 为 用 户 提供 事件 紧急 响应 和 安全 修复 服 
务 。 将 为 遭受 入 侵 破坏 的 用 户 提供 一 流 安全 专家 紧急 出 动 服务 和 安全 专家 现场 服务 ， 并 配 
合计 算 机 安全 监察 部 门 对 安全 事件 进行 现场 保护 、 审 计 分 析 、 调 查 取证 和 系统 修复 工作 。 
提供 24x7 的 全 时 安全 服务 , 在 发 生 紧急 事件 的 情况 下 ,安全 工程 师 将 在 指定 时 间 内 到 达 ， 
采取 紧急 补救 措施 ， 并 对 事件 进行 细致 的 调查 取证 ， 最 后 进行 全 面 的 安全 恢复 。 


习题 


简 述 网 络 和 应 用 现状 分 析 包 括 哪些 内 容 。 

简 述 网 络 安全 需求 分 析 包 括 哪些 内 容 。 

简 述 网 络 安全 体系 设计 准则 。 

简 述 网 络 安全 体系 框架 包括 哪些 内 容 。 

简 述 网 络 安全 包括 几 个 子 系统 ， 每 个 系统 的 具体 内 容 包 括 哪些 。 
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教学 提示 

经 过 前 面 几 章 的 学 习 ， 读 者 对 网 络 安全 的 常用 技术 、 计 算 机 安全 、 局 域 网 安全 、 广 域 
网 安全 以 及 网 络 安全 规划 等 内 容 的 认识 有 了 一 定 程度 的 提高 ， 为 切实 解决 网 络 安全 问题 黄 
定 了 基础 。 本 章 将 对 网 络 安全 实施 进行 探讨 。 

网 络 安全 实施 是 解决 网 络 安全 问题 的 一 个 关键 步 又， 只 有 网 络 安全 实施 到 位 了 ， 网 络 
安全 问题 才 有 可 能 得 以 有 效 解 决 ， 否 则 所 做 的 规划 、 设 计 都 将 失去 意义 。 网 络 安 全 实施 涉 
及 的 范围 相当 广泛 ， 包 括 硬件 设备 、 网 络 系统 、 网 络 软件 、 系 统 软件 、 应 用 软件 、 人 员 管 
理 、 规 章 制 度 以 及 网 络 安全 教育 和 培训 。 

从 总 体 上 来 说 ， 网 络 安全 问题 就 是 人 的 问题 ， 因 为 网 络 安全 问题 都 与 人 有 关 ， 哪 怕 是 
硬件 设备 被 盗 或 是 发 生火 灾 ， 都 与 人 为 的 鸣 急 有 关 ， 最 终 解决 网 络 安全 问题 的 也 是 人 ， 所 
以 网 络 安全 实施 应 该 以 人 为 中 心 ， 围 绕 这 个 中 心 来 思考 和 解决 网 络 安全 中 遇 到 的 各 种 网 络 
安全 问题 ， 网 络 安全 问题 才能 得 到 有 效 的 解决 。 网 络 安全 实施 中 应 该 包括 所 有 与 计算 机 网 
络 有 直接 关系 和 间接 关系 的 人 的 管理 ， 上 至 企业 负责 人 ， 下 至 普通 职员 ， 甚 至 是 打扫 卫生 
的 人 员 ， 除 此 之 外 ， 还 有 企业 的 外 来 人 员 ， 这 类 人 员 包 括 供应 商 、 客 户 、 企 业 合作 伙伴 以 
及 其 他 人 员 。 总 之 ， 只 要 可 能 和 企业 网 络 发 生 关系 的 人 ， 都 应 该 得 到 有 效 的 管理 ， 只 有 这 
样 ， 网 络 安全 问题 才能 得 到 有 效 解 决 。 

通过 对 本 章 的 学 习 ， 读 者 应 当 充 分 掌握 网 络 安 全 实施 过 程 中 的 各 个 注意 事项 ， 避 免 因 
为 疏忽 造成 安全 漏洞 ， 造 成 企业 网 络 安全 问题 发 生 ， 给 企业 带 来 经 济 损失 和 其 他 的 损失 。 
特别 是 在 网 络 安 全 实施 过 程 中 ， 千 万 不 能 忘记 必须 以 人 为 中 心 ， 如 果 和 忽略 了 这 一 点 ， 再 好 
的 规划 设计 都 不 会 有 好 的 效果 。 
教学 重点 

@ 网 络 安全 实施 原则 。 

@ 掌握 网 络 安全 措施 。 

@ 熟悉 保护 网 络 安全 的 7 个 步骤 。 

@ 备份 重要 数据 。 

@ 敏感 文件 保护 。 

@ 熟悉 日 志 分 析 。 


9.1 网 络 安全 实施 原则 


网 络 安全 实施 中 应 该 遵循 的 第 一 个 原则 就 是 以 人 为 中 心 。 不 同 的 人 员 在 计算 机 网 络 系 
统 中 扮演 不 同 的 角色 ， 需 要 充分 认识 这 些 角色 可 能 对 计算 机 网 络 安全 造成 的 影响 ， 然 后 采 
取 有 效 措施 消除 负面 的 影响 ， 增 强 正面 的 影响 。 
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网 络 安全 实施 中 应 该 遵循 的 第 二 个 原则 就 是 分 步 实 施 。 计 算 机 网 络 安全 问题 是 一 个 系 
统 性 的 问题 ， 涉 及 很 多 的 内 容 ， 想 要 一 次 性 解决 所 有 的 问题 是 不 可 能 的 ， 况 且 ， 网 络 安全 
问题 还 是 一 个 动态 发 展 的 过 程 ， 即 使 之 前 的 网 络 安全 问题 已 经 解决 ， 随 着 时 间 的 推移 ， 仍 
然 会 出 现 新 的 网 络 安全 问题 。 所 以 ， 合 理 且 有 效 的 方法 就 是 采取 分 步 实施 ， 把 各 种 网 络 安 
全 问题 根据 其 重要 性 和 紧迫 性 划分 为 几 种 类 型 ， 确 定 哪些 问题 需要 及 时 解决 ， 哪 些 问题 可 
以 稍 后 解决 。 

网 络 安全 实施 中 应 该 遵循 的 第 三 个 原则 是 科学 化 。 网 络 安全 问题 通常 存在 多 种 形式 ， 
有 的 问题 看 起 来 好 像 可 能 性 不 是 很 大 ， 发 生 的 几率 很 小 ， 有 的 问题 好 像 听 说 的 比较 多 ， 感 
觉 要 重要 一 些 ， 也 许 这 些 是 事实 ， 不 管 怎样 ， 我 们 最 好 不 要 想当然 地 进行 猜测 ， 而 应 该 采 
取 科 学 的 态度 ， 既 然 存在 安全 隐患 ， 那 么 就 要 尽 可 能 采取 有 效 措施 ， 防 范 安全 问题 的 发 生 。 

网 络 安全 实施 中 应 该 遵循 的 第 四 个 原则 是 以 需求 为 导向 。 要 解决 网 络 存在 的 所 有 安全 
问题 几乎 是 不 可 能 的 ， 更 何况 有 些 安 全 问题 ， 我 们 可 能 根本 就 不 知道 是 什么 ， 就 算 我 们 能 
把 所 知道 的 安全 问题 全 部 解决 ， 但 是 这 可 能 也 会 需要 巨大 的 费用 ， 而 且 这 样 的 网 络 在 使 用 
上 可 能 也 会 有 非常 大 的 麻烦 ， 所 以 解决 网 络 安全 问题 时 ， 需 要 根据 网 络 的 结构 特点 、 用 途 
等 ， 有 所 重点 地 进行 。 
9.1.1 网 络 安全 策略 

解决 网 络 安全 问题 的 最 重要 部 分 是 要 精确 实施 公司 的 网 络 安全 策略 。 我 们 必须 能 对 该 
策略 进行 分 析 ， 并 想 出 具体 办 法 在 实际 的 网 络 中 应 用 它 。 但 什么 是 网 络 安全 策略 呢 ? 我 们 
为 什么 要 创建 它 ? 网 络 安全 策略 应 该 包含 哪些 内 容 ? 

1. 创建 网 络 安全 策略 的 原因 

安全 策略 能 提供 很 多 好 处 ， 确 实 值得 花费 时 间 努 力 来 开发 它们 。 网 络 安全 策略 是 网 络 
安全 的 蓝图 或 体系 结构 规范 ， 所 以 它 必 须 是 精确 的 和 完善 的 。 下 面 是 开发 网 络 安全 策略 的 
一 些 原因 。 
(1) 提供 一 种 程序 来 审计 现 有 的 网 络 安全 ; 

(2) 为 实施 网 络 安全 提供 一 个 全 面 的 安全 架构 ; 

(3) 定义 哪些 行为 被 允许 ， 哪 些 行为 不 被 允许 ; 

(4) 经 常 能 帮助 该 机 构 确定 需要 哪些 工具 和 步骤; 

(5) 帮助 表达 关键 决策 人 员 之 间 的 一 致意 见 ， 并 定义 用 户 和 管理 员 的 责任 

(6) 为 处 理 网 络 安全 事件 定义 一 个 流程 ; 

(7) 实现 全 局 性 的 安全 实施 并 执行 , 计算 机 安全 现在 已 经 是 一 个 涉及 整个 企业 范围 的 
问题 ， 各 计算 站 点 都 应 该 遵守 网 络 安全 策略 ; 

(8) 如 果 需 要 的 话 ， 为 采取 法 律 行为 英 定 一 个 基础 。 

2. 网 络 安全 策略 应 包含 哪些 内 容 

每 个 企业 都 应 该 结合 自己 的 具体 应 用 和 网 络 环境 制定 一 个 网 络 安全 策略 。 下 面 是 一 些 
建议 的 关键 性 策略 组 件 。 

(1) 权威 性 和 规范 ， 这 一 部 分 规定 谁 负责 安全 策略 ， 以 及 安全 策略 覆盖 什么 区 域 ; 

(2) 允许 的 使 用 策略 ， 这 一 部 分 规定 公司 对 于 其 信息 基础 设施 将 允许 什么 和 不 允许 
什么 ; 
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(3) 身份 认证 策略 ， 这 一 部 分 规定 公司 将 使 用 什么 技术 、 设 备 或 技术 与 设备 的 组 合 来 
确保 只 有 被 授权 的 个 人 才能 访问 公司 数据 ; 

(4) Internet 访问 策略 ， 这 一 部 分 规定 公司 认为 哪些 行为 是 对 公司 的 Intemet 访问 能 力 
的 合乎 道德 的 和 正当 的 使 用 ; 

(5) 企业 局 域 网 访问 策略 ， 这 一 部 分 规定 园区 网 内 的 用 户 应 该 如 何 使 用 公司 的 数据 基 
础 结构 ; 

(6) 远程 访问 策略 ， 这 一 部 分 规定 远程 用 户 应 该 如 何 访问 公司 的 数据 基础 结构 ; 

(7) 事件 处 理 流程 ， 这 一 部 分 规定 公司 应 该 如 何 组 建 一 支 安全 事件 响应 队伍 ， 以 及 制 
定 事件 发 生 时 和 发 生 后 将 使 用 的 流程 。 

3. 安全 策略 的 三 个 不 同 级 别 

(1) 开放 的 安全 策略 

公司 在 安全 实施 问题 上 倾向 于 网 络 和 系统 的 开放 性 。 他 们 希望 在 连通 性 、 性 能 和 易 用 
性 方面 为 用 户 提供 更 大 的 灵活 性 和 自由 度 。 
开放 安全 策略 的 认证 : 
@ PAP (用 于 远程 客户 和 分 支 机 构 办 事 处 ) 
@ 口令 〈 企 业 局 域 网 和 拨号 用 户 ) 
开放 安全 策略 的 访问 控制 ; 

e 广域网 路 由 器 和 网 关 路 由 器 中 的 访问 控制 列表 

e@ 没有 独立 的 防火 墙 

@ 不 加 密 

(2) 有 限 的 安全 策略 

公司 采用 了 一 种 在 网 络 连通 性 、 性 能 和 易 用 性 方面 的 用 户 灵活 性 和 安全 实施 级 别 之 间 
谋求 平衡 。 

有 限制 的 安全 策略 的 认证 : 

@ 一 次 性 口令 (拨号 和 Internet) 

@ 口令 (企业 局 域 网 ) 

有 限制 的 安全 策略 的 访问 控制 : 

e@ 在 广域网 路 由 器 和 网 关 路 由 器 中 的 访问 列表 

@ 在 Intemet 和 企业 网 之 间 的 防火 墙 

@ ”路 由 认证 (分 支 机 构 办 事 处 和 园区 网 之 间 )》 

e@ 在 分 支 办 事 处 链 路 上 进行 加 密 

(3) 严密 的 安全 策略 

公司 在 网 络 安 全 实施 上 倾向 于 使 用 更 严格 的 安全 控制 。 他 们 喜欢 使 用 一 种 安全 性 较 高 
的 默认 策略 ， 尽 管 这 会 限制 用 户 的 连通 性 并 导致 性 能 和 易 用 性 下 降 。 这 些 公司 被 归 类 为 一 
个 具有 严密 的 安全 策略 。 

严密 安全 策略 的 认证 : 

@ 数字 证 书 〈 拨 号 ， 分 支 办 事 处 和 企业 局 域 网 ) 

严密 安全 策略 的 访问 控制 : 

@ 在 广域网 路 由 器 和 网 关 路 由 器 中 的 访问 控制 列表 
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@ 在 Intemet 和 企业 网 之 间 的 防火 墙 

e@ 路 由 认证 〈 分 支 机 构 办 事 处 和 园区 网 之 间 ) 

e@ 加 密 〈 拨 号 ， 分 支 办 事 处 和 一 些 园 区 网 ) 
9.1.2 网络 安 全 分 步 实 施 

随 着 企业 网 络 规模 的 扩大 ， 通 常情 况 下 ， 网 络 中 既 有 路 由 交换 核心 设备 ， 又 有 服务 器 
及 存储 设备 ， 网 络 管理 员 既 要 负责 关键 设备 的 安全 ， 又 要 保证 员工 计算 机 的 安全 ， 只 有 这 
样 才能 谈 得 上 网 络 的 安全 ， 所 以 工作 量 更 大 ， 那 么 我 们 如 何 保证 企业 网 络 安全 呢 ? 

1. 网 络 安全 范畴 

对 于 网 络 管理 员 来 说 需要 保证 安全 的 对 象 主要 有 以 下 几 个 方面 ， 每 个 方面 都 是 网 络 安 
全 的 重要 内 容 。 

(1) 服务 器 的 安全 

企业 内 部 基本 上 都 有 一 台 到 多 台 服 务 器 ， 这 些 服务 器 负责 企业 网 络 内 部 计算 机 的 DNS 
或 DHCP 服务 ， 还 承担 企业 FTP 服务， WWW 网 站 服务 。 有 的 还 具备 代理 功能 和 防火 墙 功 
能 。 这 些 设 备 的 安全 是 不 容 忽视 的 ,服务器 出 现 安全 问题 将 直接 导致 企业 网 络 的 彻底 瘫痪 。 

(2) 路 由 交换 设备 的 安全 

路 由 器 和 交换 机 负责 企业 内 部 网 络 的 互 连 和 路 由 工作 ， 他 是 企业 网 络 的 核心 枢纽 。 这 
些 设 备 一 般 都 是 24 小 时 X7 天 工作 的 ， 一 年 365 天 不 间歇 。 保 障 这 些 设备 的 安全 也 是 让 企 
业 网 络 顺利 运转 的 关键 。 
(3) 员工 计算 机 的 安全 
网 络 功能 与 优势 就 体现 在 员工 计算 机 的 协同 工作 上 ， 所 以 说 企业 内 部 员工 计算 机 的 安 
全 也 是 不 容 忽视 的 ， 可 以 说 中 小 企业 网 络 管理 员 最 多 最 重 的 工作 就 在 于 负责 企业 内 部 员 了 
计算 机 的 安全 上 。 任 何 一 个 病毒 或 漏洞 的 流行 都 将 给 网 络 管理 员 带 来 巨大 的 工作 量 。 操 { 
系统 的 重新 安装 可 以 说 是 家 常 便 饭 。 

(4) 其 他 设备 的 安全 

除了 上 面 所 说 的 几 个 关键 设备 外 , 企业 内 部 网 络 中 肯定 还 存在 着 其 他 设备 , 例如 NAS， 
UPS 等 ， 这 些 设备 的 功能 也 是 非常 强大 的 ， 在 企业 中 的 角色 也 是 很 关键 的 。 所 以 其 他 设备 
的 安全 也 要 有 所 保障 。 

(5) 相关 设备 的 防火 防盗 

除了 网 络 管理 员 对 设备 的 安全 防护 ， 一 些 相 关 设 备 的 防火 防盗 工作 也 要 做 好 。 例 如 机 
房 中 的 各 种 线 缆 要 定期 检查 ， 机 房 中 的 空调 也 要 及 时 保养 。 企 业 应 该 制定 严格 的 管理 制度 
来 加 强 对 于 这 些 设备 的 防火 防盗 工作 。 

2. 从 硬件 入 手 

企业 网 络 中 的 硬件 包括 路 由 交换 设备 ，NAS 产品 ， 服 务 器 等 。 这 些 设备 也 是 决定 网 络 
安全 与 否 的 首要 因素 。 从 硬件 入 手 保障 这 些 设 备 的 安全 是 全 公司 网 络 安全 的 基础 。 主 要 手 
段 包 括 以 下 几 种 。 

(1) 保存 场所 的 安全 

这 些 硬件 设备 保存 场所 的 安全 是 非常 重要 的 ， 我 们 不 可 能 把 这 些 设 备 随意 摆 放 ， 如 果 
企业 有 条 件 应 该 使 用 专门 的 机 房 来 储存 关键 设备 , 并 在 机 房 安 装 安全 的 防盗 门 等 保护 设施 。 
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保存 场所 也 应 该 安排 专人 值班 ， 避 免 非 法 人 员 接 近 关键 硬件 设备 。 

(2) 电力 支持 的 安全 

任何 硬件 设备 都 需要 电力 系统 的 支持 ， 对 于 一 些 偏远 城市 和 地 区 ， 电 力 系统 是 不 稳定 
的 ， 经 常会 出 现 断 电 或 者 电压 异常 的 情况 ， 这 很 容易 造成 设备 的 硬件 损坏 ， 所 以 说 为 企业 
关键 设备 提供 必要 的 电力 支持 也 是 非常 重要 的 。 我 们 可 以 通过 安装 合适 功率 的 UPS 不 间断 
电源 来 实现 电力 支持 和 稳定 电压 的 操作 ， 让 设备 可 以 稳定 高 效 的 运行 。 

(3) 设备 使 用 上 的 安全 

除了 硬件 防护 和 电力 支持 外 ， 设 备 使 用 上 的 安全 操作 也 是 非常 关键 的 ， 很 多 用 户 都 不 
太 注 重 使 用 上 的 安全 ,认为 硬件 设备 很 皮 实 ,不 是 那么 容易 坏 的 ， 这 点 是 一 个 很 大 的 误区 。 
一 般 来 说 服务 器 ， 路 由 器 ， 交 换 机 的 重新 启动 和 关闭 都 需要 通过 软件 的 方式 实现 ， 而 不 是 
人 为 的 关闭 电源 。 服 务 器 通过 系统 的 重新 启动 命令 实现 ， 路 由 器 交换 机 也 通过 管理 界面 中 
的 reboot 命令 解决 。 

最 为 关键 的 就 是 NAS 设备 了 ， 如 果 随 意 地 关闭 电源 ， 那 么 NAS 设备 中 数据 的 重组 是 
非常 消耗 时 间 的 ， 可 能 需要 好 几 天 才能 恢复 正常 运行 ; 另外 随意 关闭 NAS 设备 电源 很 有 可 
能 造成 数据 的 丢失 和 损坏 。UPS 设备 的 使 用 也 要 特别 注意 ， 不 能 够 频繁 地 充 放电 ， 也 不 能 
选择 功率 太 小 的 UPS 设备 ， 这 都 将 大 大 减少 设备 的 寿命 。 

(4) 设备 元 余 是 关键 

一 般 来 说 企业 网 络 安全 是 建立 在 内 部 网 络 的 正常 运行 基础 上 的 ， 设 备 长 期 不 间断 地 运 
行 难免 会 出 现 这 样 或 那样 的 小 问题 ， 这 时 设备 的 元 余 就 是 关键 了 。 通 过 设备 的 元 余 可 以 保 
证 服务 不 间断 而 设备 的 交替 运行 ， 让 企业 网 络 更 加 稳定 。 

设备 元 余 主 要 包括 网 络 线路 的 元 余 一 一 例如 用 一 个 ADSL 线路 作为 网 络 出 口 线路 的 
备份 ， 如 果 主 要 出 口 线路 中 断 则 用 ADSL 临时 提供 出 口 带宽 ;服务 器 元 余 用 两 台 服 务 器 
提供 两 种 服务 ， 这 样 每 个 服务 都 由 两 台 服 务 器 提供 ， 例 如 DNS 服务，WWW 服务 ， 这 样 
当 一 台 服 务 器 负载 加 大 或 停止 服务 的 情况 下 ， 另 一 台 可 以 马上 接管 工作 ;磁盘 的 元 余 可 
以 说 是 最 常见 的 设备 元 余 工作 了 ， 它 保证 即使 有 一 块 硬盘 出 现 错误 ， 保 存在 其 上 的 数据 
也 将 完好 无 损 。 

3. 从 软件 入 手 

除了 上 面 所 说 的 硬件 安全 ， 中 小 企业 网 络 的 安全 还 需要 从 软件 入 手 。 软 件 主 要 包括 
Windows 系统 下 的 应 用 软件 , Linux 系统 下 的 应 用 软件 以 及 路 由 交换 设备 中 的 IOS 软件 设置 。 

(1) Windows 系统 下 的 应 用 软件 

Windows 系统 是 大 家 最 常用 的 操作 系统 ， 我 们 可 以 通过 安装 第 三 方 防 火 墙 和 杀毒 软件 
来 提高 系统 的 安全 性 。 毕 竟 很 多 时 候 系 统 漏洞 补丁 不 能 及 时 更 新 ， 这 时 第 三 方 防火 墙 可 以 
帮助 我 们 阻挡 漏洞 病毒 的 入 侵 , 杀毒 软件 也 可 以 提高 系统 的 运行 效率 , 将 病毒 清除 出 系统 。 
当然 杀毒 软件 的 病毒 一 定 要 及 时 更 新 ， 否 则 将 起 不 到 任何 安全 防护 作用 了 。 

(2) Linux 系统 下 的 应 用 软件 

一 般 来 说 中 小 企业 员工 使 用 Linux 系统 的 机 会 不 多 ， 大 部 分 都 是 在 服务 器 上 安装 
Linux， 这 时 就 需要 我 们 这 些 网 络 管理 员 安 装 提 供 工 作 效率 的 软件 了 ， 例 如 Linux 下 的 系统 
优化 和 服务 优化 软件 ， 帮 助 服务 器 更 好 地 提供 服务 。 

(3) 路 由 交换 设备 中 的 IOS 软件 设置 
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路 由 交换 设备 的 软件 防护 对 大 家 可 能 比较 陌生 ， 很 多 人 认为 路 由 交换 设备 安装 完毕 就 
可 以 直接 使 用 了 ， 不 用 什么 设置 。 其 实 这 种 想法 是 错误 的 ， 在 实际 工作 中 我 们 可 以 通过 设 
置 路 由 交换 设备 的 IOS 配置 来 提高 企业 网 络 的 安全 系数 。 主 要 手段 包括 访问 控制 列表 的 设 
置 ,通过 访问 控制 列表 ACL 来 防范 黑客 的 入 侵 和 病毒 的 传播 , 还 可 以 更 好 地 管理 企业 网 络 ， 
让 员工 的 网 络 访问 权限 划分 得 更 加 明确 。 

路 由 策略 的 设置 ， 通 过 路 由 策略 可 以 提高 企业 网 络 访问 的 效率 ， 将 各 个 部 门 的 出 口 线 
路 进行 规划 ， 为 企业 网 络 出 口 提供 多 条 备份 线路 :虚拟 局 域 网 的 设置 ， 通 过 VLAN 虚拟 局 
域 网 帮助 企业 更 好 地 管理 网 络 ， 将 部 门 与 部 门 的 计算 机 隔离 ， 防 止 网 络 的 非法 访问 。 

4. 从 系统 入 手 

如 果 说 软件 防范 可 以 提高 企业 网 络 的 安全 性 ， 那 么 从 操作 系统 入 手提 高 网 络 安全 也 是 
不 容 忽视 的 。 

(1) 漏洞 补丁 莫 忘 记 

一 般 来 说 企业 内 部 计算 机 都 是 采用 的 Windows 操作 系统 ， 该 系统 的 漏洞 和 缺陷 还 是 比 
较 多 的 ， 基 本 上 每 月 微软 公司 都 会 发 布 漏洞 补丁 ， 如 果 不 及 时 更 新 这 些 补丁 程序 的 话 ， 病 
毒 和 黑客 很 容易 实现 入 侵 目 的 。 当 然 我 们 可 以 通过 Windows 系统 自 带 的 Update 组 件 来 完 
成 自动 更 新 工作 ， 减 少 了 我 们 的 工作 量 ， 也 让 补丁 可 以 及 时 下 载 和 安装 。 

第 一 步 : 在 所 有 员工 计算 机 系统 桌面 的 “我 的 电脑 ”上 单 击 鼠标 右键 ， 选 择 “ 属 性 ”。 

第 二 步 : 在 系统 属性 窗口 中 找到 “自动 更 新 ”标签 , 将 自动 更 新 设置 为 “自动 (推荐 ) ”， 
然后 设置 其 为 “自动 下 载 推荐 的 更 新 ， 并 安装 它们 ”， 选 择 一 个 安装 时 间 段 即 可 。 

第 三 步 : 确定 完毕 后 我 们 的 系统 就 将 在 每 天 固定 时 间 自 动 连接 Windows Update 自动 更 
新 站 点 查看 是 否 有 更 新 信息 了 ， 如 果 有 将 自动 执行 下 载 和 安装 操作 。 

(2) 系统 账号 要 牢靠 

很 多 员工 都 对 系统 账号 的 安全 性 不 太 重视 ， 认 为 保持 空 密码 或 者 弱 口 令 输 入 着 方便 。 
其 实 这 使 得 系统 的 安全 性 大 打折 扣 。 黑 客 和 病毒 可 以 对 空 密码 或 弱 口 令 进行 扫描 ， 实 现 入 
侵 的 目的 。 所 以 说 我 们 要 将 没有 用 的 账号 删除 或 禁用 ， 为 自己 经 常用 的 账户 ， 特 别 是 具备 
管理 员 权 限 的 用 户 设置 一 个 复杂 的 密码 。 设 置 密码 的 步 又 如 下 。 

第 一 步 : 通过 任务 栏 的 “开始 ”| “运行 ”， 输 入 CMD 后 回 车 进入 命令 行 模式 。 

第 二 步 : 在 命令 行 模式 中 通过 net user 命令 来 查看 当前 本 机 存在 着 哪些 账户 。 

第 三 步 : 再 通过 “netuser 账户 名 密码 ”来 实现 修改 密码 的 操作 ， 例 如 我 要 修改 
administrator 账户 的 密码 为 admin123654， 那 么 执行 “net user administrator admin123654” 
命令 即 可 。 

(3) 服务 是 关键 

系统 中 的 服务 也 是 安全 的 关键 , 一 方面 我 们 要 将 没有 用 的 服务 关闭 , 例如 messenger 
和 remote register 服务 ; 另 一 方面 我 们 也 要 优化 已 经 开启 的 服务 ， 让 他 们 尽量 少 占用 系 

对 于 服务 器 来 说 ， 系 统 服 务 则 更 加 重要 ， 例 如 服务 器 经 常 提供 的 WWW 服务 和 FTP 
服务 ， 这 些 服务 对 应 的 程序 或 多 或 少 都 会 存在 着 漏洞 ， 这 些 漏 洞 的 弥补 也 是 非常 关键 的 。 
例如 用 serv-u 程序 建立 的 FTP 服务 器 容易 受到 Ddos 攻击 ， 而 用 IIS 建立 的 WWW 服务 在 
解析 ASP 语言 时 经 常 出 现 问 题 。 这 些 程序 漏洞 都 是 可 以 通过 安装 服务 补丁 来 解决 ， 所 以 我 
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们 要 保证 网 络 安全 就 要 注意 服务 漏洞 的 补丁 安装 工作 。 

(4) 组 策略 ， 用 户 权限 齐 上 阵 

如 果 企 业 自身 需要 对 内 部 员工 进行 规范 处 理 ， 分 配合 理 权限 的 话 ， 我 们 还 可 以 通过 设 
置 组 策略 和 用 户 权限 分 配 ， 甚 至 是 添加 一 个 域 来 解决 。 组 策略 可 以 统一 管理 域 中 的 所 有 计 
算 机 ， 域 账户 管理 则 可 以 针对 不 同 的 用 户 分 配 不 同 的 权限 。 这 些 都 能 很 好 地 提高 企业 内 部 
的 网 络 安全 。 

5. 从 制度 入 手 

对 于 我 们 这 些 网 络 管理 员 来 说 主要 责任 就 是 管理 好 公司 网 络 ， 保 证 其 正常 运行 。 不 过 
网 络 上 的 应 用 软件 和 服务 太 多 了 ， 有 的 能 够 帮助 我 们 企业 运转 ， 而 其 他 则 对 我 们 公司 的 网 
络 平稳 运行 有 很 大 坏处 ， 例 如 容易 引起 病毒 的 传播 ， 黑 客 的 入 侵 ， 系 统 的 崩溃 ， 数 据 的 丢 
失 等 ， 虽 然 从 技术 手段 上 我 们 也 可 以 阻止 这 些 问 题 的 发 生 ， 但 是 俗话 说 网 络 三 分 技术 七 分 
管理 。 只 有 制定 合理 有 效 的 网 络 管理 制度 来 约束 员工 ， 这 样 才能 最 大 限度 地 保证 企业 网 络 
平稳 正常 的 运转 ， 例 如 禁止 员工 乱用 计算 机 ， 禁 止 利用 工作 时 间 随 意 下 载 软件 ， 随 意 执行 
安装 操作 ， 禁 止 使 用 IM 工具 聊天 等 ， 所 以 说 网 络 安全 第 四 步 就 是 从 制度 入 手 。 

网 络 管理 员 不 是 网 络 维修 工 ， 许 多 网 络 的 问题 都 是 管理 的 问题 ， 因 此 ， 网 络 管理 员 应 
该 关注 你 的 网 络 管理 制度 ! 作为 一 个 企业 的 网 络 管理 员 我 们 不 但 要 做 到 “ 接 外 ”一 一 防止 
外 部 黑客 以 及 病毒 的 侵袭 ， 还 要 做 到 “ 安 内 ”一 一 管理 好 公司 内 部 人 员 的 越权 操作 ， 所 谓 
是 “无 规矩 不 成 方圆 ”， 因 此 制定 一 套 严格 的 管理 制度 是 你 轻松 管理 的 “法 宝 ”， 也 是 保 
证 企业 内 部 网 络 安全 的 重要 手段 。 

6. 从 网 管 自身 入 手 

网 络 技术 是 没有 止境 的 ， 不 管 一 个 网 络 管理 员 他 自身 水 平 有 多 高 ， 如 果 他 不 能 做 到 及 
时 更 新 自己 的 知识 ， 多 看 新 技术 书籍 ， 多 学 习 新 管理 经 验 的 话 ， 他 就 不 算是 一 个 合格 的 网 
络 管理 员 。 所 以 说 网 络 的 安全 与 网 络 管理 员 自 身 素 质 和 水 平 有 很 大 关系 ， 虽 然 巧 妇 难为 无 
米 之 炊 ， 但 是 有 了 好 米 不 会 者 也 是 问题 。 一 个 企业 拥有 一 名 够 格 的 网 络 管理 员 会 减少 很 多 
网 络 隐患 ， 在 网 络 运行 与 维护 上 也 将 达到 事半功倍 的 效果 。 

因此 网 络 安全 的 最 后 一 步 就 是 要 我 们 这 些 网 络 管理 员 从 自身 入 手 多 学 习 新 知识 ， 新 方 
法 来 提高 企业 内 部 网 络 的 安全 。 同 时 制度 对 于 网 管 的 要 求 也 是 必需 的 ， 有 些 企业 的 网 络 管 
理 员 在 网 络 权限 方面 过 大 ， 自 己 拿 企业 的 服务 器 干 私 活 ， 自 己 拿 企业 的 服务 器 当成 娱乐 工 
有 具 ,这些 都 是 不 对 的 。 所 以 要 保证 企业 网 络 安全 对 网 络 管理 员 自 身 的 约束 也 是 不 可 缺少 的 。 


9.2 安全 性 设计 过 程 


企业 网 络 的 安全 问题 ， 自 始 至 终 都 是 一 个 比较 棘手 的 事情 ， 它 既 有 硬件 的 问题 ， 也 有 
软件 的 问题 ， 但 最 终 还 是 人 的 问题 。 在 对 企业 网 络 的 安全 策略 的 规划 、 设 计 、 实 施 与 维护 
过 程 中 ， 你 必须 对 保护 数据 信息 所 需 的 安全 级 别 有 一 个 较 透 彻 的 理解 。 所 以 你 应 该 对 信息 
的 敏感 性 加 以 研究 与 评估 ， 从 而 制定 出 一 个 能 够 提供 所 需 保 护 级 别 的 安全 策略 。 

同时 ， 当 一 个 企业 中 的 每 一 个 商业 单元 都 需要 来 自 某 单一 点 的 有 效 管理 时 ， 要 求 你 在 
统一 的 安全 策略 中 找到 各 单元 之 间 的 相关 性 。 这 样 在 制定 安全 策略 时 ， 可 以 在 用 户 之 间 自 
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动 地 进行 复制 ， 大 大 减少 所 需 时 间 ， 还 可 以 保证 系统 的 统一 安全 。 当 系统 实施 策略 发 生 改 
变 时 ， 全 面 的 策略 特性 可 以 除去 手工 改变 每 个 策略 的 麻烦 。 

从 整体 情况 来 看 ， 一 个 标准 企业 的 安全 策略 应 该 能 够 随 着 客户 基础 的 增长 ， 管 理 系统 
可 以 进行 相应 地 有 效 升级 。 这 其 中 包括 有 各 种 各 样 的 策略 描述 。 


9.2.1 安全 原则 


如 何 更 有 效 地 保护 重要 的 信息 数据 、 提 高 计算 机 网 络 系统 的 安全 性 已 经 成 为 所 有 计算 
机 网 络 应 用 必须 考虑 和 必须 解决 的 一 个 重要 问题 。 计 算 机 网 络 建设 、 使 用 的 过 程 中 应 遵循 
以 下 几 个 方面 的 原则 ， 以 最 大 限度 提高 网 络 系统 安全 性 。 

1， 技术 型 原则 

(1) 把 用 不 着 的 服务 和 功能 全 都 阻 断 或 禁用 

除 极 少数 例外 ， 己 知 的 远程 攻击 手段 都 与 系统 中 运行 的 服务 有 关 。 因 此 ， 只 要 阻 断 有 
关 的 访问 通道 或 禁用 有 关 的 服务 ， 就 不 会 给 相关 的 攻击 手段 留 下 可 乘 之 机 。 最 少 的 服务 加 
最 小 的 限 权 等 于 安全 。 
当然 有 些 服务 是 必须 或 者 不 得 不 启用 的 ， 例 如 ， 如 果 想 运行 一 个 Web 应 用 程序 ， 就 不 
得 不 启用 诸如 IIS (Intemet Information Server) 之 类 的 应 用 服务 。 因 此 ， 如 果 必 须 开 放 某 项 
服务 ， 请 务必 按 有 关 的 指导 意见 对 它 进行 防护 。 

至 于 应 用 程序 ， 因 为 它 几 乎 总 是 独一无二 的 ， 所 以 安全 性 要 取决 于 程序 员 是 否 具 备 良 
好 的 编程 习惯 。 

(2) 一 定 要 设置 口令 字 ， 要 让 它 尽量 复杂 ， 并 且 要 经 常 更 换 

口令 字 是 最 基本 的 安全 手段 一 一 需要 进行 身份 认证 的 软件 产品 几乎 都 具备 这 一 机 制 ， 
Windows 也 不 例外 。 在 专业 深 透 测试 实践 中 ， 弱 口令 字 几 乎 总 是 我 们 攻破 网 络 的 突破 口 。 
一 定 要 设置 口令 字 〈 千 万 不 要 把 它 留 成 空白 ! ) ， 而 且 要 把 它 设置 成 不 能 被 轻易 猜 中 〈( 建 
议 7 个 字符 以 上 ， 并 且 要 包含 字母 和 数字 ) 。 如 有 可 能 ， 不 妨 把 多 种 身份 验证 手段 结合 
来 使 用 。 

(3) 打 好 软件 厂商 发 布 的 各 种 补丁 ， 一 个 都 不 能 少 

有 软件 开发 经 验 的 人 都 知道 ， 有些 事 迟 早 会 发 生 。 每 当 在 微软 的 产品 里 发 现 一 个 漏 
洞 ， 那 些 急 于 出 名 和 扩大 传播 范围 的 黑客 们 通常 会 在 48 小 时 内 在 网 上 发 布 一 个 利用 该 
漏洞 发 起 攻击 的 工具 。 这 意味 着 在 遭受 攻击 之 前 , 通常 只 有 大 约 两 天 的 时 间 去 安装 微软 
的 补丁 。 这 种 攻防 就 是 如 此 不 容 喘息 ， 不 及 时 打 好 补丁 的 后 果 就 是 被 未 知 的 黑客 从 网 上 
攻破 系统 。 

(4) 只 授予 有 关 账 户 完成 操作 所 需 的 最 小 权限 

这 是 网 络 用 户 最 容易 疏忽 的 概念 之 一 ， 也 是 我 们 容易 加 以 利用 并 攻破 其 网 络 的 漏洞 。 
授权 行为 都 发 生 在 身份 验证 之 后 ， 这 是 为 了 确保 低 权 限 用 户 不 会 访问 到 敏感 资源 。 让 别人 
猜 出 一 个 弱 口 令 字 就 已 经 够 糟糕 的 了 ， 但 在 渗透 测试 中 ， 我 们 经 常 发 现 刚 弄 到 手 的 低 权限 
账户 甚至 有 权 去 挂 装 一 个 包含 着 企业 财务 数据 的 共享 卷 。 我 们 知道 ， 了 解 企 业 整 个 IT 环境 
里 的 所 有 资源 并 给 他 们 加 上 适当 的 访问 控制 确实 需要 花费 不 少时 间 ， 但 如 果 不 这 样 做 ， 企 
业 的 信息 防线 的 整体 坚固 程度 将 等 同 于 其 中 最 薄弱 的 身份 验证 环节 一 一 口令 字 强 度 最 弱 的 
那个 用 户 。 
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(5) 建立 纵深 防御 体系 

完善 的 防御 系统 不 应 该 只 有 一 条 防线 。 当 外 围 防线 被 攻破 时 ， 应 该 有 内 层 防线 继续 抵 
抗 攻击 。 根 据 这 一 原则 ， 你 应 该 把 系统 单元 部 署 成 能 够 “各 自 为 战 ”的 形式 。 这 样 ， 即 使 
某 个 阵地 失守 了 ， 攻 击 者 也 不 可 能 轻易 侵入 其 他 阵地 。 

2. 管理 型 原则 

(1) 安全 问题 ， 人 人 有 责 

这 是 一 个 很 明显 的 问题 ， 即 使 集中 了 世界 上 所 有 的 安全 专家 也 不 可 能 应 付 每 天 发 生 的 
所 有 黑客 活动 。 要 把 信息 安全 责任 落实 到 企业 中 的 每 一 个 人 ， 只 有 这 样 才能 有 效 地 抓 好 安 
全 工作 。 

(2) 对 信任 关系 加 以 限制 

舍 息 系统 不 是 孤立 的 ， 基 于 Windows 系统 尤其 如 此 。 我 们 用 来 攻击 Windows 网 络 最 
有 效 的 手段 之 一 是 先 设法 侵入 一 台 本 地 管理 员 口 令 字 强 度 很 弱 的 域 成 员 计 算 机 ， 然 后 再 利 
用 各 种 技巧 从 这 台 计 算 机 上 把 某 个 合法 域 用 户 的 口令 字 弄 到 手 ， 进 而 在 这 个 域 里 获得 一 个 
立足 点 并 设法 侵入 与 这 个 域 有 信任 关系 的 其 他 域 。 一定 要 认真 审查 建立 的 每 一 个 信任 关系 ， 
不 管 它 是 一 个 正常 的 Window 域 信任 关系 ， 还 是 一 个 保存 在 远程 计算 机 的 某 个 批 处 理 文件 
里 的 口令 字 ; 扩大 信任 关系 将 加 大 安全 风险 。 

根据 这 一 原则 ， 应 该 明确 禁止 用 户 重复 使 用 已 经 用 过 的 口令 字 。 下 面 这 种 事 我 们 见得 
太 多 了 : 在 渗透 测试 中 ， 先 侵入 了 一 个 Windows 系统 并 破解 了 一 些 账户 的 口令 字 ， 然 后 发 
现 这 些 口 令 字 还 能 访问 这 个 网 络 里 的 所 有 其 他 系统 一 -企业 的 内 部 电话 交换 系统 、UNIX 数 
据 库 服务 器 系统 、SNA (System Network Architecture 系统 网 络 体系 ) 网 关 等 。 

(3) 要 特别 注意 企业 内 部 网 络 的 外 部 接口 
网 上 潜在 的 薄弱 环节 数不胜数 ， 但 你 必须 学 会 把 注意 力 集中 在 最 脆弱 的 环节 ， 企 业内 
部 网 路 与 公共 网 络 的 联结 处 (比如 Web 服务 器 ) 就 是 这 样 的 地 方 。 这 类 系统 是 企业 的 “对 
外 窗口 ”， 是 展示 企业 产品 和 形象 的 场所 ， 也 是 最 容易 遭受 攻击 的 头 阵 地 ， 所 以 这 类 系统 
上 的 防护 措施 应 该 按 更 高 的 标准 实施 才 行 。 顺 便 提 醒 一 句 : 企业 的 内 部 电话 网 也 属于 “对 
外 窗口 ”。 
(4) 安全 撤退 
当 一 个 系统 的 保密 性 、 完 整 性 或 可 用 性 受 破坏 时 ， 应 该 让 它 “ 安 全 地 ”撤退 一 即 有 步 
又 地 停止 该 系统 的 运行 ， 避 免 损 失 进一步 扩大 。 

(5) 越 简单 的 安全 措施 越 实 用 

简单 的 系统 要 比 复杂 的 系统 更 容易 防护 , 事情 越 简单 ， 出 现 错误 或 缺陷 的 机 会 就 越 小 。 
这 一 原则 的 具体 体现 是 专用 化 和 模块 化 ， 系 统 或 系统 的 组 件 应 该 只 有 单一 用 途 ， 这 有 助 于 
避免 潜在 的 冲突 或 元 余 导致 的 安全 漏洞 。 但 维持 众多 单一 功能 的 系统 有 可 能 他 们 总 体 的 维 
护 成 本 迅速 加 大 ， 所 以 应 该 在 这 一 原则 的 指导 下 对 系统 的 各 有 关 功 能 做 最 合理 的 安排 。 

(6) 根据 现实 情况 进行 风险 评估 

不 要 为 追求 安全 性 而 影响 企业 的 商务 活动 ， 也 不 要 为 追求 商业 利润 而 忽视 安全 工作 。 
我 们 见 过 太 多 因 安 全 策略 不 够 严格 而 导致 损失 的 事例 。 

(7) 技术 并 不 能 保证 你 免 遭 社交 手段 的 攻击 

我 的 目标 是 各 种 技术 性 的 攻击 手段 一 -黑客 们 需要 拥有 一 台 计 算 机 并 具备 一 些 计 算 机 
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使 用 技能 才能 加 以 利用 的 软件 漏洞 。 但 我 们 见 过 和 听 说 过 的 攻击 事例 中 ， 有 不 少 后 果 极 为 
严重 的 攻击 根本 与 技术 无 关 。 所 谓 “ 社 交工 程 (social engineering) ”是 指 利用 人 与 人 之 间 
的 交往 和 误导 而 获得 非法 授权 的 数据 访问 途径 。 我 这 里 只 能 向 大 家 提供 技术 保护 手段 ， 它 
们 不 能 保护 你 免 遭 与 技术 完全 无 关 的 社交 性 攻击 。 大 家 应 该 通过 良好 的 交流 和 培训 教育 使 
你 们 的 企业 免 遭 社交 性 攻击 。 

(8) 要 比 敌 人 更 了 解 你 自己 的 平台 和 应 用 软件 

知己 知 彼 ， 百 战 不 殖 。 要 想 有 效 地 防范 黑客 对 我 们 计算 机 的 入 侵 和 破坏 ， 我 们 更 应 该 对 
网 络 安全 体系 有 一 个 全 面 的 了 解 ， 在 系统 真 的 遭受 攻击 时 能 灵活 运用 所 学 知识 去 进行 防御 。 


9.2.2 ”监视 和 控制 


从 技术 角度 解决 网 络 安全 问题 的 方法 包括 两 种 ， 即 监视 和 控制 。 这 和 我 们 现实 生活 中 
的 其 他 地 方 几乎 是 完全 一 样 的 ， 比 如 说 银行 ， 这 是 一 个 安全 性 要 求 很 高 的 地 方 ， 在 银行 不 
但 设置 有 监视 摄像 头 , 而 且 还 采取 了 多 种 安全 保护 措施 ,为 银行 的 安全 提供 了 相当 的 保证 。 
对 于 我 们 的 计算 机 网 络 也 是 一 样 。 

只 要 我 们 需要 在 企业 的 计算 机 网 络 上 开展 工作 ， 让 人 们 使 用 计算 机 网 络 ， 就 有 可 能 产 
生 安 全 问题 。 这 里 同样 采取 监视 和 控制 两 种 措施 ， 首 先 对 于 操作 人 员 在 计算 机 网 络 上 的 操 
作 ， 凡 是 可 能 发 生 安全 问题 的 ， 全 部 进行 监视 记录 ， 通 过 查看 这 些 记录 信息 ， 可 以 判断 计 
算 机 操作 人 员 是 否 进行 了 非法 操作 ;对 于 另外 一 些 操作 并 非 工作 需要 ， 而 且 还 会 带 来 安全 
隐患 的 ， 直 接 通过 网 络 控制 系统 进行 控制 ， 禁 止 操作 人 员 进 行 相关 的 操作 。 这 样 可 以 大 幅 
度 提 高 网 络 的 安全 性 ， 尤 其 是 企业 内 部 网 络 的 安全 性 。 

1. 被 动 监视 

被 动 监 视 是 一 种 普遍 存在 的 监视 方式 ， 比 如 我 们 通常 所 见 到 的 摄像 头 的 监视 就 是 被 动 
监视 。 它 只 有 监视 的 功能 ， 只 是 简单 地 将 监视 到 的 信息 进行 记录 ， 并 不 根据 监视 到 的 信息 
产生 任何 动作 。 

被 动 监视 有 一 定 的 好 处 和 淘 端 ， 其 优点 在 于 因为 它 没有 对 监视 到 的 内 容 进行 任何 的 判 
断 并 采取 任何 动作 ,所 以 被 监视 者 往往 会 忽视 其 存在 , 被 监视 的 内 容 也 就 有 较 高 的 真实 性 ， 
这 些 信息 作为 一 些 依据 也 就 会 具有 较 强 的 说 服 力 。 其 不 足 是 即使 监视 到 具有 严重 破坏 性 的 
行为 ， 也 不 能 及 时 制止 ， 防 止 破坏 的 进一步 发 生 ， 将 损失 尽量 减 小 。 应 该 说 早期 的 监视 大 
多 数 是 属于 这 种 类 型 的 。 

2. 主动 的 内 部 防御 

据 有 关 资 料 统计 显示 ， 企 业 计算 机 网 络 的 内 部 安全 问题 往往 比 外 部 安全 要 大 得 多 ， 所 
以 做 好 内 部 网 络 安全 工作 ， 对 于 整个 网 络 的 安全 具有 重要 意义 。 对 于 内 部 网 络 中 存在 的 安 
全 问题 具有 一 定 的 特殊 性 ， 首 先 ， 内 部 网 络 是 网 络 管理 人 员 完 全 可 以 管理 的 ， 也 就 是 说 整 
个 网 络 系统 都 是 处 于 可 以 绝对 控制 的 ， 这 对 于 管理 者 来 说 ， 是 一 个 有 利 的 条 件 ， 其 次 ， 整 
网 络 系统 需要 提供 给 企业 内 部 所 有 人 员 使 用 ， 因 为 这 是 工作 的 需要 ， 既 要 保证 人 们 可 以 
充分 地 使 用 网 络 ， 又 要 保证 没有 非法 操作 的 破坏 ， 这 是 一 个 很 难 解 决 的 问题 。 

主动 的 内 部 防御 是 解决 内 部 网 络 安全 问题 的 有 效 方法 ， 简 单 地 说 就 是 通过 技术 手段 和 
管理 手段 ， 严 格 规定 和 限制 计算 机 操作 人 员 进 行 非 法 操作 ， 以 避免 其 对 企业 内 部 网 络 的 破 
坏 以 及 内 部 信息 资料 的 泄密 。 
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3. 被 动 的 外 部 防御 

对 于 和 Internet 连接 的 网 络 而 言 ， 或 多 或 少 都 会 受到 来 自 外 部 的 攻击 ， 对 于 这 些 攻 击 ， 
我 们 几乎 不 可 能 知道 是 从 哪里 来 的 ， 更 不 可 能 对 其 采取 任何 的 控制 行为 ， 当 然 ， 这 些 攻击 
者 也 可 能 并 不 知道 我 们 的 计算 机 网 络 系统 的 存在 ， 而 只 是 在 网 络 上 使 用 扫描 工具 进行 扫描 
时 偶然 发 现 了 我 们 的 计算 机 网 络 ， 然 后 开始 进行 试探 性 的 攻击 。 

被 动 的 外 部 防御 是 解决 这 类 网 络 安全 问题 的 方法 ， 也 就 是 说 我 们 无 法 控制 攻击 者 ， 也 
无 法 避免 被 攻击 ， 我 们 唯一 可 以 做 的 就 是 增强 我 们 的 网 络 系统 ， 采 取 各 种 技术 手段 并 加 强 
管理 ， 使 得 各 种 安全 措施 都 能 够 切实 得 到 执行 ， 这 是 我 们 对 于 外 部 攻击 所 能 做 的 。 

4. 主动 监视 

主动 监视 不 但 具有 记录 监视 内 容 的 功能 ， 还 能 根据 监视 到 的 内 容 ， 并 结合 预先 设置 的 
程序 ， 采 取 各 种 有 利 措施 ， 防 止 非法 操作 的 进一步 执行 。 这 种 监视 实际 上 就 是 将 被 动 监视 
和 控制 功能 结合 起 来 的 形式 。 

这 种 监视 的 优点 在 于 不 但 可 以 记录 非法 操作 内 容 ， 而 且 还 能 阻止 非法 操作 ， 有 的 还 会 
根据 非法 操作 情况 产生 各 种 报警 信号 ， 对 保护 重要 信息 有 很 好 的 效果 。 缺 点 就 是 系统 相对 
复杂 ， 再 有 就 是 如 果 使 用 不 当 ， 容 易 产 生 误 报 的 情况 。 


9.3 ”网络 安 全 措施 


为 了 保证 企业 网 络 的 安全 ， 我 们 需要 在 企业 网 络 上 采取 各 种 各 样 的 安全 措施 ， 这 些 措 
施 可 能 很 简单 ， 可 以 由 员工 自己 完成 ， 也 有 的 需要 网 络 管理 人 员 完 成 ， 那 么 我 们 需要 采取 
哪些 措施 呢 ? 下 面 我 们 对 各 种 措施 做 一 个 简单 的 介绍 。 
9.3.1 容易 的 工作 

如 果 曾 经 完成 安装 程序 或 为 计算 机 设置 打印 机 之 类 的 任务 ， 则 执行 这 些 工作 只 会 有 少 
量 麻 烦 ， 通 常 可 以 由 员工 自己 完成 。 

1. 安装 和 更 新 防 病毒 软件 

防 病毒 软件 容易 安装 ， 而 且 一 旦 运行 ， 就 会 持续 不 断 地 检查 以 防止 可 能 通过 网 络 损害 
或 破坏 数据 的 感染 。 但 是 要 知道 黑客 也 在 不 停 地 编写 新 的 病毒 , 仅 当 防 病毒 软件 知道 如 何 
发 现 最 新 的 威胁 ， 它 才 有 效 。 因此 当 安 装 防 病毒 软件 时 ， 请 将 它 设置 为 自动 下 载 更 新 以 便 
捕捉 新 的 病毒 。 如 果 购 买 的 新 PC 包含 的 防 病毒 软件 有 试用 期 限制 ， 请 在 免费 试用 期 过 
期 时 注册 以 便 继续 获得 更 新 ， 或 投资 另 一 种 产品 。 

防 病毒 软件 的 使 用 方法 可 以 参考 本 书 第 2 章 的 相关 内 容 。 

2. 使 用 软件 更 新 工具 

微软 公司 会 提供 免费 的 工具 ， 可 以 用 来 更 新 软件 以 使 它 更 安全 。 例如 ， 只 需要 单 击 几 
次 鼠标 就 可 将 Windows XP 或 Windows Small Business Server 设置 为 使 用 自动 更 新 功能 。 
此 工具 可 以 让 Windows 自动 联机 以 查找 并 安装 最 新 的 更 新 来 应 付 安全 威胁 。 打开 自动 更 
新 之 后 ， 就 不 再 需要 做 任何 进一步 的 工作 。 软件 将 自行 更 新 。 IMicrosoft Office 系统 也 具 
有 自动 更 新 工具 。 
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设置 自动 更 新 Windows 系统 的 方法 可 以 参考 本 书 第 6 章 相关 内 容 。 
通过 微软 公司 提供 的 Microsoft Office 自动 更 新 工具 进行 自动 更 新 的 操作 过 程 如 下 。 
(1) 在 正中 登录 http://office.microsoft.com， 如 图 9-1 所 示 。 


图 9-1 Microsoft Office 更 新 页 面 
(2) 单 击 “ 检 查 更 新 ”超级 链接 ， 出 现 如 图 9-2 所 示 。 


图 9-2 Microsoft Office 检查 页 面 


(3) 单 击 Office Update， 如 果 是 第 一 次 进行 这 样 的 更 新 ， 会 出 现 如 图 9-3 所 示 的 “ 安 
全 设置 警告 ”对 话 框 ， 提 示 需 要 安装 微软 公司 的 一 个 签名 。 


EE x 
在 2006-10-2 21:14 
ii 了 a a Engine” 网? 其 发 行 

erosoft Corporation 
发 行商 可 靠 性 由 此 crosoft Code Sianing PCA 验证 


ft Corporation 声明 该 内 : 
Microsoft Corporation ， 
共 训 2 


厂 总 是 信任 旺 cresoft Corporation 内 容 (ah) 


图 9-3 ”安全 设置 警告 
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(4) 单 击 “ 是 ”按钮 ， 完 成 签名 的 安全 并 开始 运行 ， 稍 等 一 会 儿 ， 出 现 检测 结果 显示 ， 
如 图 9-4 所 示 。 


图 9-4 检测 结果 显示 
(5) 单 击 “ 同 意 并 安装 ”按钮 ， 出 现 需要 更 新 内 容 的 介绍 信息 ， 如 图 9-5 所 示 。 


T Polen Te RE 


Office 2000 Service Release 1a (SR-1a) 


图 9-5 更 新 内 容 介绍 

(6) 单 击 “ 下 载 ” 按 钮 ， 将 更 新 程序 下 载 到 本 地 硬盘 ， 然 后 根据 提示 进行 安装 即 可 。 

3. 安装 防 间 谍 软 件 

请 安装 并 定期 更 新 防 间 谍 软 件 ， 该 软件 查找 试图 收集 密码 和 账号 的 秘密 程序 。 
Microsoft 提供 免费 的 Windows AntiSpyware 程序 和 恶意 软件 删除 工具 , 可 以 使 用 它们 除去 
PC 中 不 需要 的 软件 。 

防 间谍 软件 的 使 用 方法 可 以 参考 本 书 第 6 章 相关 内 容 。 

4. 安装 软件 防火 墙 

防火 墙 检 查 进入 网 络 的 数据 ， 如 果 数 据 不 满足 某 个 标准 就 会 丢弃 它 。 软件 防火 墙 ， 如 
Windows XP Professional 中 内 置 的 Windows 防火 墙 ， 只 保护 运行 它们 的 计算 机 ， 但 为 硬 
件 防 火 墙 提供 良好 的 备用 防御 措施 。 打开 Windows 防火 墙 很 容易 。 

开启 Windows XP Professional 中 内 置 的 Windows 防火 墙 具体 操作 步骤 如 下 。 

(1) 选择 “开始 ” |“ 设置 ”|“ 控 制 面板 ”命令 ， 出 现 如 图 9-6 所 示 。 
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图 9-6 控制 面板 
(2) 双击 “Windows 防火 墙 ”， 出 现 “Windows 防火 墙 ” 配置 对 话 框 ， 如 图 9-7 
所 示 。 


(3) 选择 “例外 ”选项 卡 ， 如 图 9-8 所 示 ， 可 以 设置 各 种 通信 控制 规则 ， 包 括 按照 程 
序 和 按照 端口 两 种 方式 。 
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图 9-7 Windows 防火 墙 配 置 对 话 框 图 9-8 防火墙 规 则 设置 窗口 

(4) 选择 “常规 ”选项 卡 ， 选 择 “ 启 用 (推荐 ) ” 单 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 防 火 
墙 启 用 就 完成 了 。 

5. 安装 垃圾 邮件 筛选 软件 

垃圾 邮件 是 未 经 请 求 进 入 收 件 箱 的 商业 电子 邮件 ， 挑 选 垃圾 邮件 会 浪费 员工 的 时 间 。 
虽然 大 部 分 情况 只 是 增添 麻烦 ， 但 是 当 垃 圾 邮件 包含 打开 会 释放 病毒 的 附件 时 ， 它 就 会 带 
来 风险 。 另外 ， 某 些 垃圾 邮件 属于 “网 页 仿冒 ”类 别 ， 或 欺骗 收 件 人 泄露 密码 以 及 其 他 可 
能 使 企业 面临 风险 的 有 价值 的 信息 。 安 装 垃圾 邮件 筛选 产品 或 配置 内 置 的 Outlook 2003 垃 
圾 邮件 筛选 器 有 助 于 显著 减少 垃圾 邮件 。 

下 面 介绍 快捷 反 垃圾 邮件 的 使 用 方法 。 
(1) 启动 快捷 反 垃圾 邮件 主 程序 ， 主 窗口 界面 如 图 9-9 所 示 ， 界 面 类 似 于 Foxmail 邮 
件 管理 工具 。 
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TR 


图 9-9 快捷 反 垃 圾 邮件 主 界面 


(2) 在 窗口 左边 有 不 同 邮件 类 型 的 树 形 列表 ,包括 所 有 账户 和 单个 账户 两 种 方式 。 单 
击 左边 “所 有 账户 ”|“ 垃 圾 邮件 ”项 ， 即 可 看 到 所 有 的 垃圾 邮件 ， 如 图 9-10 所 示 。 


9-10 垃圾 邮件 显示 


(3) 单 击 左边 “所 有 账户 ”|“ 可 疑 邮 件 ” 项 ， 即 可 看 到 所 有 的 可 疑 邮件 ， 如 图 9-11 
所 示 。 


图 9-11 可 疑 邮 件 显示 


278 网 络 安全 基础 教程 


(4) 单 击 工具 栏 上 的 “邮件 规则 ”按钮 ， 出 现 邮件 规则 配置 窗口 ， 如 图 9-12 所 示 。 


EW eso | -mo | masw. | Mxno| ?了 sm| 
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到 码 到 而 形 列 叫 形 码 和 如 到 现 碘 和 码 现 | 
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打 显示 用户 自 定义 规则 0) 所 显 元 系统 规则 E) 。 门 选 项 中 .| 曰 导入 加 | 副 备 从 加 


图 9-12 ”邮件 规则 设置 窗口 


(5) 在 “邮件 规则 ”对 话 框 中 ， 提 供 了 判断 垃圾 邮件 、 可 疑 邮 件 和 垃圾 及 可 疑 邮 件 的 
判断 规则 ， 可 以 根据 自己 的 需要 进行 灵活 配置 。 

(6) 除了 上 述 功 能 以 外 ， 该 软件 还 提供 了 其 他 的 一 些 丰富 的 功能 ,使 用 该 软件 有 利于 
减 小 垃圾 邮件 带 来 的 大 量 时 间 浪 费 。 其 他 功能 的 实际 操作 ， 留 给 读者 作为 练习 。 


9.3.2 ” 较 难 的 任务 


这 组 任务 可 能 更 加 困难 。 它们 需要 更 多 的 技术 专业 知识 或 持续 管理 安全 策略 和 流程 ， 
通常 由 网 络 管理 人 员 来 完成 比较 合适 。 

1. 限制 设备 访问 

通过 限制 对 服务 器 和 网 络 设备 (如 路 由 器 和 交换 机 ) 的 物理 访问 , 可 以 提高 安全 性 。 如 
有 可 能 ， 请 将 这 些 机 器 移 到 加 锁 的 房间 ， 并 确保 只 有 指定 在 该 设备 上 工作 的 人 员 拥有 钥匙 。 
这 可 以 最 大 程度 地 减少 不 合格 的 人 员 算 改 计算 机 或 尝试 “纠正 ”问题 的 机 会 。 

禁止 计算 机 外 设 的 具体 操作 步骤 如 下 。 

(1) 右 击 桌面 上 的 “我 的 电脑 ”， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 出 现 “ 系 
统 属性 ”对 话 框 ， 选 择 “ 硬 件 ” 选 项 卡 ， 如 图 9-13 所 示 。 

(2) 单 击 “ 设 备 管理 器 ”按钮 ， 出 现 “ 设 备 管理 器 ”窗口 ， 如 图 9-14 所 示 。 
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图 9-13 “系统 属性 ”对 话 框 图 9-14 设备 管理 器 窗口 
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(3) 右 击 “ 端 口 (COM 和 LPT) ”|“ 通 信 端 口 (COM1) ”， 在 弹出 的 菜单 中 选择 
“ 停 用 ”命令 ， 出 现 确认 对 话 框 ， 如 图 9-15 所 示 。 
(4) 单 击 “ 是 ”按钮 ， 设 备 就 被 禁止 ， 如 图 9-16 所 示 。 
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图 9-15 ”提示 对 话 杠 图 9-16 被 禁止 的 设备 状态 


(5) 采用 同样 的 方法 就 可 以 启用 或 者 禁止 其 他 的 设备 。 特别 是 以 系统 管理 员 登 录 系 统 
禁止 的 设备 ， 以 其 他 账号 登录 后 无 法 启用 。 

2. 设置 权限 级 别 

可 以 使 用 Windows Small Business Server 2003 给 用 户 指定 不 同 的 网 络 权 限 级 别 。 不 
要 给 所 有 用 户 授 予 “ 管 理 员 ”访问 权限 ， 请 只 给 某 些 用 户 授予 对 特定 程序 具有 访问 权限 ， 
并 定义 允许 哪些 用 户 特权 访问 服务 器 。 例如 ， 可 以 给 某 些 用 户 授予 读 取 服 务 器 上 存储 的 某 
些 文件 但 不 能 修改 它们 的 权限 。 应 该 只 有 网 络 管理 员 才 能 访问 所 有 系统 文件 和 服务 。 

3. 删除 离职 员工 的 网 络 访问 权限 

消除 离职 员工 登录 网 络 的 能 力 。 删除 他 们 的 访问 权限 和 用 户 特权 很 容易 ,但 是 如 果 等 
待 时 间 太 长 ， 就 可 能 给 心怀 不 满 的 离职 员工 损害 或 窍 取 文件 的 机 会 。 

4. 制订 电子 邮件 和 Internet 使 用 策略 

最 新 的 研究 表明 ，6% 的 所 有 电子 邮件 感染 了 病毒 或 其 他 可 能 损害 计算 机 的 程序 。 制 
订 全 公司 的 Intemet 使 用 策略 ， 其 中 包括 要 求 员 工 不 要 打开 他 们 不 想 要 的 电子 邮件 附件 的 
指示 。 该 策略 还 应 说 明和 危险 的 联机 活动 并 禁止 从 网 络 上 下 载 免费 实用 程序 和 其 他 程序 之 类 
的 行为 。 指示 员工 在 接收 到 要 求 提供 密码 或 账户 信息 的 电子 邮件 时 ， 不 要 泄露 这 些 信息 。 

5. 要 求 员 工 使 用 强 密码 

容易 猜 出 的 密码 可 能 使 未 经 授权 的 人 员 能 够 访问 网 络 。 为 了 防止 这 种 问题 发 生 ， 安 全 
策略 应 要 求 密码 同时 包含 字母 和 数字 。 而 且 ， 在 要 求 定期 更 改 密码 的 同时 ， 避 免 要 求 员工 
过 于 频繁 地 更 改 它们 。 如 果 他 们 觉得 记 住 密码 比较 困难 , 他们 可 能 记 下 密码 并 将 它们 粘贴 
在 他 们 的 显示 器 上 ， 这 使 得 其 他 人 很 容易 闻 入 计算 机 系统 。 


9.3.3 ”请 求 帮助 


这 些 任务 技术 含量 不 是 特别 高 , 但 是 可 能 需要 考虑 聘请 计算 机 或 网 络 顾问 来 处 理 它们 ， 
如 果 能 够 找到 有 相关 经 验 的 人 员 来 执行 ， 效 果 可 能 会 好 一 些 。 
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1. 安装 外 围 防火 墙 

软件 防火 墙 保护 安装 它 的 PC， 而 外 围 防火 墙 是 插入 并 保护 整个 计算 机 网 络 的 硬件 设 
备 。 一 个 重要 功能 是 它 允 许 关 闭 网 络 端口 。 因为 网 络 端口 允许 客户 端 计算 机 与 服务 器 之 
间 的 通信 ， 所 以 通过 关闭 不 使 用 的 端口 可 以 增强 网 络 的 安全 性 并 阻止 未 经 授权 的 访问 。 此 
步骤 实施 起 来 比较 困难 ， 可 能 需要 专家 来 帮助 正确 设置 防火 墙 功 能 。 

2. 保护 虚拟 专用 网 络 

将 远程 用 户 连接 到 公司 的 网 络 使 他 们 能 够 检查 电子 邮件 和 访问 共享 文件 。 虚 拟 专 用 网 
络 (VPN) 可 以 让 更 安全 地 执行 这 种 操作 。 但 是 ， 任 何 时 候 让 自己 的 网 络 供 外 人 访问 都 会 
存在 很 大 的 安全 风险 。 可 能 需要 请 求 安 全 顾问 帮助 , 因为 让 VPN 正确 工作 可 能 比较 困难 。 

3. 配置 无 线 安全 功能 

在 无 线 网 络 的 无 线 电 范围 内 的 任何 人 都 具有 在 网 络 上 接收 或 传送 数据 的 潜力 。 如果 计 
划 使 用 无 线 网 络 ， 则 请 求 IT 专业 人 士 帮助 以 确保 激活 安全 功能 和 正确 配置 无 线 加 密 和 访 
问 控 制 功能 。 

4. 创建 备份 和 还 原 过 程 

此 任务 可 能 与 将 数据 文件 刻录 到 光盘 上 然后 将 它 保存 在 安全 的 地 方 那样 简单 。 
Windows XP 包含 一 个 备份 和 还 原 数 据 的 工具 。 如 果 需 要 让 数据 随时 可 用 ， 应 与 IT 专家 
合作 ， 他 可 以 用 元 余 配置 的 方式 将 硬件 添加 到 系统 中 ， 这 样 每 次 保存 文件 的 时 候 都 会 在 另 
一 个 硬盘 上 保存 那些 文件 的 重复 副本 。 这 样 ， 如 果 一 个 硬盘 驱动 器 死机 ， 则 备份 系统 可 以 
代替 它 并 保持 数据 正常 流动 。 应 至 少 每 周 备份 文件 ， 并 定期 练习 还 原 数据 ， 这 样 做 只 是 为 
了 验证 可 以 还 原 它们 。 

Windows XP 备份 还 原 工具 操作 如 下 。 

(1) 选择 “开始 ”|“ 程 序 ”|“ 附 件 ”|“ 系 统 工具 ”|“ 备 份 ”命令 ， 出 现 如 图 9-17 
所 示 。 

(2) 可 以 单 击 “ 备 份 向 导 ( 高 级 ) ”按钮 对 计算 机 上 的 指定 位 置 的 文件 进行 备份 ， 
可 以 单 击 “ 还 原 向 导 ( 高 级 ) ”对 以 前 做 的 备份 进行 还 原 ， 这 两 种 操作 都 有 向 导 的 支持 ， 
比较 简单 ， 作 为 读者 的 练习 。 在 此 选择 “备份 ”选项 卡 ， 如 图 9-18 所 示 。 


名 从 只 [天 村 
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殉 晶 | 各 俗 上 还 原 和 管理 柑 体 | ?tlk | 

次 迎 忆 用 备份 工具 高 刀 往 去 
人 


Heer | 
苹 | 下 记 () ) 


| We eee ee 


[E> 


车 关于 Pr 
总 一 一 一 宙 we 
Ps aa 


图 9-17 备份 工具 图 9-18 备份 设置 窗口 
(3) 首先 在 窗口 左边 的 树 形 列表 框 中 选择 需要 备份 的 文件 夹 ， 只 需要 在 列表 项 前 的 复 
选 框 选中 即 可 ， 其 次 单 击 “ 浏 览 ”按钮 设置 备份 文件 路 径 和 文件 名 ， 最 后 单 击 “ 开 始 备份 ” 
按钮 ， 出 现 如 图 9-19 的 “备份 作业 信息 ”对 话 框 。 
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(4) 单 击 “ 开 始 备份 ”按钮 ， 开 始 进行 备份 ， 备 份 完 成 后 ， 出 现 结果 提示 框 ， 如 图 
9-20 所 示 。 


Er 
和 从 作业 信息 EE ES | 
各 从 六 四; M8 夺 SE 
网 00626r5 
标签: ackup. bkf 2006-12-6， 14:4 
[如果 如 人 已 经 包 语 各 从 人 二 一 一 一 
将 备份 附加 下 星体 到。 > 
信用 备份 和 扫 妊 体 上 的 小 据 )。 a i 
加 果 旭 人 被覆 蔷 ， 请 用 此 标 签 识别 曝 仁 ) - Ee 
scr bkf 他 陵 了 2006-12-6, 位 于 15:45 已 处 理 : 估计 : 
[ 一 一 
字 节 : mm [0046,688 
图 9-19 “备份 作业 信息 ”对 话 框 图 9-20 “备份 进度 ”对 话 框 


(5) 选择 “还 原 和 管理 媒体 ”选项 卡 ， 可 以 对 备份 文件 进行 还 原 ， 出 现 如 图 9-21 
所 示 。 

(6) 首先 在 窗口 左边 选择 需要 还 原 的 文件 夹 ， 然 后 在 “将 文件 还 原 到 ”下 拉 列 表 框 中 
选择 还 原 的 目的 位 置 ， 最 后 单 击 “开始 还 原 ” 按 钮 ， 系 统 还 原 完成 时 出 现 还 原 结果 提示 框 ， 
如 图 9-22 所 示 。 


作业 中 ， 连 本 四， 查看 罗 ， 工 具 世 帮助 
贡 g | 名 从 。 卫 了 和 管理 烷 订 | 计划 人 此 | 


ER Ca 


要 参半 学 细 信 息 ， 请 单 击 “报答 ”。 EL 


图 9-21 还 原 和 管理 媒体 图 9-22 “还 原 进 度 ” 对 话 框 

(7) 除了 上 述 讲 到 的 功能 以 外 ， 还 有 一 些 其 他 的 功能 ， 还 需要 读者 多 实践 操作 ， 达 到 
熟练 掌握 的 目的 。 

5. 配置 数据 库 安 全 性 

如 果 具 有 存储 用 于 业务 系列 应 用 程序 的 客户 、 销 售 、 库 存 或 其 他 类 型 的 关键 信息 的 数 
据 库 ， 请 聘请 IT 专业 人 士 来 确保 这 些 信 息 受到 良好 的 保护 。 例如 ， 通 过 只 允许 授权 用 户 
连接 至 数据 库 ， 数 据 库 专家 可 以 使 Microsoft SQL Server 屏蔽 掉 大 多 数 基 于 Intemet 的 攻 
击 。 他 们 还 可 以 创建 备份 系统 ， 以 便 在 数据 丢失 时 进行 还 原 。 


9.4 保护 网 络 安全 的 7 个 步骤 


每 天 花 不 到 30 分 钟 的 时 间 ， 按照 安全 检查 表 中 的 7 个 要 点 自行 操作 , 不 到 两 个 星期 
就 可 以 大 大 地 增强 对 病毒 、 电 脑 黑客 以 及 其 他 安全 问题 的 防护 能 力 。 以 下 介绍 如 何 着 手 执 
行 这 些 步 又 。 
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(1) 保护 台式 机 和 便携 机 

(2) 保证 数据 安全 

(3) 安全 地 使 用 Intemet 

(4) 保护 网 络 

(5) 保护 服务 器 

(6) 保护 业务 应 用 程序 

(7) 从 服务 器 管理 台式 机 或 便携 机 


9.4.1 保护 你 的 台式 机 和 便携 机 


如 果 在 保护 经 营业 务 所 用 计算 机 方面 只 做 三 件 事 ， 确 保 做 这 样 三 件 事 ， 即 更 新 软件 、 
防止 病毒 和 设置 防火 墙 。 

它们 不 能 完全 防止 安全 威胁 和 生产 率 降低 ， 但 同时 做 好 这 三 件 事 会 为 构筑 强 有 力 的 第 
一 道 防线 。 

1. 更 新 软件 

黑客 喜欢 查找 和 利用 常用 软件 产品 的 程序 错误 和 漏洞 。 这 些 黑客 有 的 是 为 了 谋 利 ， 有 
的 是 为 了 发 表 看 法 ， 也 有 的 仅仅 是 为 了 制造 麻烦 。 他 们 可 能 制造 的 麻烦 包括 : 在 网 站 上 公 
开 客 户 信用 卡号 码 ， 或 者 窃取 计算 机 中 的 密码 。 这 对 于 企业 的 影响 可 能 是 致命 的 。 

可 以 采取 的 基本 措施 如 下 。 

Microsoft 或 其 他 公司 一 旦 发 现 其 软件 存在 漏洞 时 , 通常 会 发 行 更 新 , 可 在 Intemet 上 
下 载 。 更 新 会 “修补 ”程序 漏洞 或 错误 ， 从 而 防止 黑客 制造 麻烦 。 随 着 时 间 的 推移 ， 软 
件 产品 会 变 得 越 来 越 安全 。Windows XP Professional Service Pack2 (SP2) 在 防止 黑客 、 病 
毒 和 蠕虫 等 方面 提供 了 更 强 的 安全 设置 。 这 并 不 意味 着 发 行 修补 程序 后 立即 下 载 和 安装 不 
重要 。 

Windows 更 新 的 安装 请 参考 本 书 第 6 章 相 关内 容 。 

2. 防止 病毒 

病毒 、 蠕 虫 和 特洛伊 木马 都 是 在 计算 机 上 运行 的 恶意 程序 。 某 些 病毒 会 删除 或 更 改 文 
件 。 某 些 会 消耗 计算 机 资源 。 某 些 会 允许 外 部 人 员 访 问 文件 。 病毒 的 一 个 最 可 恶 的 特性 
是 它们 可 以 进行 复制 或 自我 复制 。 病毒 可 以 从 联系 人 列表 中 获取 电子 邮件 地 址 ， 并 将 其 自 
身 发 送 到 这 些 地 址 。 感染 病毒 的 计算 机 会 将 病毒 传 遍 整 个 公司 , 并 导致 严重 的 停机 和 数据 
丢失 。 同时 ， 也 会 通过 电子 邮件 感染 客户 或 用 户 的 计算 机 。 

防止 病毒 的 具体 操作 可 以 参考 本 书 第 2 章 相关 内 容 。 

3. 设置 防火 墙 

如 果 具 有 长 期 宽带 连接 ， 计 算 机 网 络 会 不 时 受到 犯罪 性 黑客 的 入 侵 。 他 们 一 旦 获取 有 
效 的 计算 机 地 址 ， 就 会 试图 利用 软件 漏洞 或 者 破解 密码 以 获取 对 网 络 的 访问 权 ， 最 终 可 以 
访问 网 络 中 的 各 台 计 算 机 和 所 有 内 容 。 

防火 墙 的 基本 操作 可 以 参考 本 书 第 4 章 以 及 本 章 相关 内 容 。 


9.4.2 ”保证 数据 安全 
试想 一 下 ， 当 某 天 早上 走 进 办 公 室 ， 却 发 现 所 有 销售 记录 、 客 户 联系 信息 和 订单 历 
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史记 录 全 部 都 不 见 了 。 需 要 花费 多 长 时 间 才 能 恢复 ? 会 造成 多 少 困扰 和 延误 ? 会 造成 多 
少 浪费 ? 

数据 丢失 很 可 能 会 发 生 ， 不 乏 这 样 的 例子 。 发 生 的 原因 可 能 是 硬件 故障 、 水 灾 、 火 灾 、 
安全 问题 ， 或 仅仅 是 意外 地 删除 了 重要 的 文件 。 不 管 是 什么 原因 ， 采 取 预 防 措施 以 降低 影 
响 就 像 是 “保险 单 ”， 使 企业 能 够 迅速 地 恢复 并 运转 。 

保护 关键 的 业务 数据 有 许多 种 方法 ， 但 以 下 三 种 是 基本 方法 : 

1. 备份 关键 的 数据 

备份 数据 就 是 在 其 他 介质 上 保存 数据 的 副本 。 例 如 ， 可 以 将 所 有 重要 的 文件 刻录 到 
一 张 CD-ROM 或 第 二 个 硬盘 上 。 有 两 种 基本 的 备份 方法 : 完整 备份 和 增 量 备份 。 完 整备 
份 会 将 所 选 的 数据 完整 地 复制 到 其 他 介质 。 增 量 备 份 仅 备份 上 次 完整 备份 以 来 添加 或 更 
改 的 数据 。 

通过 增 量 备份 扩充 完整 备份 通常 较 快 且 占 用 较 少 的 存储 空间 。 可 以 考虑 每 周 进行 一 次 
完整 备份 ， 然 后 每 天 进行 增 量 备份 。 但 是 ， 如 果 要 在 崩溃 后 恢复 数据 ， 则 将 花费 较 长 的 时 
间 ， 因 为 首先 必须 要 恢复 完整 备份 ， 然 后 才 恢 复 每 个 增 量 备份 。 如 果 对 此 感到 担忧 ， 则 可 
以 采取 另 一 种 方案 ， 每 晚 进行 完整 备份 ， 只 需 使 备份 在 下 班 后 自动 运行 即 可 。 

通过 实际 将 数据 恢复 到 测试 位 置 来 经 常 测试 备份 是 个 好 主意 。 这 具有 以 下 作用 : 

(1) 确保 备份 介质 和 备份 数据 状况 良好 ; 

(2) 确定 恢复 过 程 中 的 问题 ; 

(3) 可 提供 一 定 程度 的 信心 ， 这 在 实际 发 生 危 机 时 将 十 分 有 用 。 

2. 建立 权限 

操作 系统 和 服务 器 都 可 对 由 于 员工 的 活动 所 造成 的 数据 丢失 提供 保护 。 通 过 Windows 
XP 和 Windows 2000 以 及 Windows Small Business Server 2003、Windows Server 2003 和 
Windows 2000 Server， 可 以 根据 用 户 在 组 织 内 的 角色 和 职责 而 为 其 分 配 不 同 级 别 的 权限 。 
不 应 为 所 有 用 户 提供 “管理 员 ” 访 问 权 ， 这 并 不 是 维护 安全 环境 的 最 佳 做 法 ， 而 是 应 制定 
“赋予 最 低 权 限 ” 策 略 ， 将 服务 器 配置 为 赋予 各 个 用 户 仅 能 使 用 特定 的 程序 并 明确 定义 用 
户 权 限 。 

3. 对 敏感 数据 加 密 

对 数据 加 密 意味 着 将 其 转换 为 一 种 可 伪装 数据 的 格式 。 加 密 用 于 在 网 络 间 存 储 或 移动 
数据 时 确保 其 机 密 性 和 完整 性 。 仅 那些 具有 工具 来 对 加 密 文件 进行 解密 的 授权 用 户 可 以 访 
问 这 些 文 件 。 加 密 对 其 他 访问 控制 方法 是 一 种 补充 ， 且 对 容易 被 盗 的 计算 机 (例如 便携 式 
计算 机 ) 上 的 数据 或 网 络 上 共享 的 文件 提供 多 一 层 保 护 。Windows XP 和 Windows Small 
Business Server 2003 支持 加 密 文 件 系统 对 文件 和 文件 夹 加 密 。 

将 这 三 种 方法 结合 起 来 ， 应 该 可 以 为 大 多 数 企 业 提 供 保证 数据 安全 所 需 的 保护 级 别 。 
9.4.3 安全 地 使 用 Internet 

如 果 企 业 没 有 关于 Intemet 使 用 的 策略 ， 则 应 该 制定 这 样 的 策略 。 尽管 Web 是 非常 
有 用 的 工作 场所 工具 ， 它 也 可 能 对 工作 场所 造成 严重 危害 ， 导 致 生产 效率 降低 。 应 设置 一 
些 规 则 以 保护 企业 ， 以 及 员工 。 

Web 页 面包 含 一 些 通常 无 害 的 程序 ， 有 时 很 有 用 ， 例 如 动画 和 弹出 菜单 。 但 有 一 些 
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可 疑 的 甚至 是 恶意 的 网 站 ,它们 具有 自己 的 日 程 ， 有 时 会 造成 危害 。 当 在 网 上 冲浪 时 ， 站 
点 操作 员 可 在 Intemet 上 识别 计算 机 、 识 别 所 访问 的 网 页 、 使 用 cookies 为 设置 配置 文件 
并 在 计算 机 上 安装 间谍 软件 ， 而 毫 无 察觉 。 破坏 性 的 蠕虫 病毒 也 可 能 通过 Web 浏览 器 进 
入 系统 。 

除了 外 部 发 起 的 恶意 活动 ， 内 部 员工 工作 时 间 在 公司 计算 机 上 进行 非法 或 不 允许 的 
Web 活动 也 会 使 企业 易于 受到 攻击 。 

当 建 立 公司 范围 的 Intemet 使 用 策略 时 ， 应 解决 以 下 问题 : 

(1) 是 否 允许 员工 因 公 和 因 私 浏览 Web; 

(2) 员工 何 时 可 以 因 私 使 用 Web 午 餐 时 间 、 下 班 后 等 ); 

(3) 公司 是 否 监控 及 如 何 监控 Web 使 用 ， 以 及 员工 可 有 具有 怎样 的 隐私 级 别 ; 

(4) 不 允许 的 Web 活动 。 详细 说 明 不 允许 的 行为 。 在 许多 公司 中 ， 不 允许 的 行为 
包括 : 


下 载 攻 击 性 的 内 容 

侗 吓 或 暴力 行为 

非法 活动 

e@ 商业 广告 〈 与 业务 无 关 ) 

应 向 员工 提供 两 份 策略 : 一 份 由 其 保存 ， 另 一 份 由 其 签名 并 返回 给 员工 。 

除了 制定 相关 策略 ， 以 下 建议 也 可 以 有 助 于 安全 地 进行 Web 浏览 : 

e@ 仅 浏 览 受 信任 的 网 站 ; 

e@ 不 使 用 工作 计算 机 进行 闲置 浏览 ; 

@ 切 勿 从 服务 器 浏览 网 站 。 始终 应 使 用 客户 端 计算 机 或 便携 机 ; 

@ 使 用 防火 墙 /路 由 器 。 它 使 能 够 过 滤 Web 地 址 并 阻挡 来 自 或 去 往 危险 站 点 的 
Intemet 流量 ; 

@ 考虑 使 用 Web 过 滤 软 件 。 Websense 和 Secure Computing 等 公司 提供 了 一 些 可 

根据 各 种 条 件 过滤 Intemet 使 用 的 软件 。 


9.4.4 保护 网 络 


人 们 常常 不 会 往 坏处 去 想 , 即 到 处 都 有 人 要 探听 公司 事务 。 但 如 果 公司 具 有 有 线 或 无 
线 网 络 ， 且 具有 需 保密 的 信息 ， 那 么 随时 保持 警惕 是 有 好 处 的 。 

有 四 种 基本 措施 可 以 有 助 于 降低 网 络 安 全 风险 。 

1. 使 用 防火 墙 

防火 墙 可 以 控制 对 网 络 的 访问 。 它 可 以 阻止 Intemet 入 侵 者 探查 专用 网 络 中 的 数据 。 
它 还 可 以 控制 员工 在 网 络 外 部 可 以 访问 的 内 容 。 

有 两 种 基本 类 型 的 防火 墙 : 硬件 和 软件 。 它们 的 工作 原理 都 是 检查 传 入 网 络 的 数据 ， 
如 果 其 不 符合 特定 的 条 件 则 将 其 丢弃 。 硬件 防火 墙 最 适合 于 网 络 ， 因 为 它们 可 以 保护 网 络 
中 的 所 有 计算 机 。 它们 还 可 以 增加 一 层 防御 ， 因 为 它们 可 有 效 地 使 外 部 “看 不 到 ”网 络 计 
算 机 。 软件 防火 墙 (例如 内 置 到 Windows XP Professional 的 Windows 防火 墙 ) 仅 保 护 
运行 它们 的 计算 机 ， 且 对 硬件 防火 墙 提 供 了 很 好 的 防御 支持 。 
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2. 使 用 加 强 密码 

大 多 数 小 企业 使 用 密码 来 在 计算 机 、 收 银 机 或 报警 系统 上 验证 身份 。 尽管 有 更 先进 的 
验证 系统 〈 例 如 智能 卡 和 指纹 或 虹膜 扫描 ) ， 密 码 仍 是 最 常用 的 ， 因 为 它 易于 使 用 。 但 是 
密码 也 容易 盗用 。 黑客 具有 自动 的 工具 ， 可 帮助 他 们 在 几 分 钟 之 内 提供 简单 的 密码 。 黑 
客 还 可 以 利用 圈套 使 员工 泄露 密码 。 

而 且 由 于 以 下 一 些 原因 ， 密 码 常常 起 不 到 防护 作用 : 

@ 敏感 文档 未 进行 密码 保护 ， 使 任何 人 可 以 使 用 未 设 保护 的 计算 机 并 登录 ; 

@ 密码 简单 且 / 或 从 不 更 改 ; 

@ 密码 写 在 计算 机 旁边 容易 看 到 的 地 方 。 

教育 职员 使 其 认识 到 密码 的 重要 性 是 使 密码 成 为 有 效 的 网 络 安全 工具 的 基础 。 员 工 应 
像 对 待 办 公 室 钥匙 一 样 对 待 密码 。 也 就 是 说 , 不 要 随处 放置 密码 , 也 不 要 让 别人 知道 密码 。 
还 应 该 避免 使 用 简单 且 易 于 猜 到 的 密码 ， 包 括 : 

e ”他 们 的 真名 、 用 户 名 或 公司 名 ; 

@ 常见 的 字典 词 ， 这 使 其 容易 受到 “字典 攻击 ” ; 

e@ 常见 的 密码 ， 例 如 “password”、“letmein” 或 “1,2,3,4”; 

@ 广为人知 的 字母 蔡 换 ， 例 如 将 “i” 替换 为 “!” 或 将 “s” 替 换 为 “$”; 

@ 为 人 所 知 的 密码 。 

什么 样 的 密码 是 “加 强 ” 密 码 ? 它 具 有 以 下 特征 : 

e@ 至少 有 八 位 字符 长 ， 越 长 越 好 ; 

@ 是 小 写 和 大 写字 母 、 数 字 和 符号 的 组 合 ; 

@ 至 少 每 90 天 要 进行 更 改 ， 而 且 更 改 时 应 与 先前 的 密码 有 较 大 区 别 。 

3. 使 用 无 线 安全 功能 部 件 

无 线 网 络 使 用 无 线 电 而 不 是 电线 来 连接 计算 机 。 这 样 ， 处 于 无 线 电 范围 内 的 任何 人 理 
论 上 都 可 以 在 网 络 上 进行 侦 听 或 传输 数据 。 一 些 易 于 获取 的 工具 使 入 侵 者 可 以 “察觉 到 ” 
不 安全 的 网 络 。 由 于 无 线 网 络 的 安全 漏洞 较 高 ， 精 于 计算 机 的 黑客 具有 一 些 工具 可 帮助 他 
们 侵入 所 有 类 型 的 计算 机 系统 。 

有 一 些 安全 功能 内 置 到 Wi-Fi 产品 中 ,默认 情况 下 制造 商 通常 将 其 关闭 ， 因 为 这 样 使 
网 络 更 容易 设置 。 如 果 使 用 无 线 网 络 , 应 确保 打开 这 些 功 能 并 使 用 可 配置 的 加 密 和 访问 控 
制 功能 ， 这 会 使 网 络 更 安全 。 

还 应 该 考虑 以 下 事项 : 

@ 将 无 线 访问 限制 在 工作 时 间或 需要 使 用 网 络 的 任何 时 间 (如 果 访 问 点 允许 〉; 

@ 通过 将 访问 点 设置 为 限制 网 络 仅 访问 受信 任 的 媒体 访问 控制 (MAC) 地 址 ， 过 滤 

掉 偶 然 的 入 侵 者 ; 
e@ 如 果 使 用 的 是 较 旧 的 设备 ， 应 升级 至 功能 更 强大 的 Wi-Fi 保护 访问 (WPA) 
加 密 。 

4. 关闭 不 需要 的 网 络 端口 

网 络 端口 启用 客户 端 计算 机 和 服务 器 之 间 的 通信 。 为 了 加 强 网 络 安全 并 阻止 未 授权 的 
访问 ， 应 该 关闭 未 使 用 或 不 需要 的 网 络 端口 ， 方 法 是 使 用 专用 的 防火 墙 、 基 于 主机 的 防火 
墙 或 “Intemet 协议 安全 ”过 滤器 。 提示 : Microsoft 服务 器 产品 使 用 各 种 编号 的 网 络 端 口 
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和 协议 来 与 客户 端 和 服务 器 系统 进行 通信 。 阻止 Windows Server System 所 使 用 的 端口 可 
E 会 使 服务 器 无 法 响应 合法 的 客户 端 请 求 ， 这 意味 着 服务 器 无 法 正常 工作 。 


9.4.5 ”保护 服务 器 


如 果 将 服务 器 视 为 网 络 的 命令 中 心 ， 则 容易 理解 保持 安全 避免 攻击 为 什么 是 一 个 关键 
任务 。 一 旦 危及 服务 器 的 安全 ， 整 个 网 络 都 处 于 危险 之 中 。 虽 然 有 些 服务 器 攻击 仅仅 是 骚 
扰 ， 但 是 有 些 可 以 引起 严重 损害 。 要 保护 企业 ， 请 先 保护 服务 器 。 

如 果 为 小 型 企业 ， 可 能 不 具有 多 个 服务 器 。 但 是 无 论 正在 运行 的 服务 器 是 多 还 是 少 ， 
网 络 都 依靠 这 些 服务 器 。 它 们 为 团队 进行 工作 所 需 的 应 用 程序 、Web 页 或 电子 邮件 提供 服 
务 。 它 们 存储 有 价值 的 和 /或 机 密 的 信息 资源 。 它 们 为 客户 提供 与 联系 的 方法 ， 可 能 从 这 里 
购买 货物 或 服务 。 
因此 ， 如 果 服 务 器 停机 ， 则 会 降低 生产 率 并 损坏 客户 关系 …… 而 且 ， 甚 至 可 能 受到 经 
济 打击 。 

已 经 讨论 的 许可 步骤 可 帮助 保护 服务 器 。 因 此 ， 如 果 尚 未 采取 以 下 步骤 ， 请 优先 执行 
这 些 步 又 : 

步 又 1: 保护 台式 机 和 便携 机 

步骤 2: 保证 数据 安全 

步骤 3: 安全 地 使 用 Intemet 

步骤 4: 保护 网 络 

即使 采用 了 列 出 的 那些 安全 措施 ， 还 可 以 采取 其 他 措施 来 保护 服务 器 。 

(1) 保持 服务 器 在 安全 的 位 置 

企业 必须 确保 其 服务 器 不 易 遇 到 物理 灾难 。 将 这 些 机 器 放置 在 安全 的 、 通 风 良 好 的 房 
间 ， 而 不 要 放 在 走廊 或 桌子 底下 ， 在 这 些 地 方 人 们 可 能 会 无 意识 地 踢 到 机 器 或 将 咖啡 溅 在 
机 器 上 。 或 者 对 其 进行 随意 的 处 理 。 服 务 器 房间 应 该 没有 窗户 ， 且 只 有 一 个 门 ， 可 以 锁 住 
这 个 门 。 服 务 器 机 箱 也 应 该 被 锁 ， 以 防止 有 人 动 内 部 组 件 。 了 解 哪些 员工 持 有 服务 器 房间 
的 钥匙 。 还 应 该 保存 服务 器 的 序列 号 记录 ， 并 将 其 标记 为 公司 信息 ， 以 便 被 盗 后 可 以 识别 
和 发 现 它们 。 

(2) 赋予 最 低 权 限 

通过 Windows 2000 Server、Windows Server 2003 和 Small Business Server 2003, 可 以 
为 用 户 分 配 不 同 的 权限 级 别 。 不 应 为 所 有 用 户 提供 “管理 员 ” 访 问 权 ， 这 并 不 是 为 计算 机 
或 服务 器 维护 安全 环境 的 最 佳 做 法 , 而 是 应 使 用 服务 器 来 管理 客户 端 计算 机 。 Windows 服 
务 器 可 以 配置 为 指定 各 个 用 户 仅 对 特定 的 程序 具有 访问 权 ， 并 定义 服务 器 上 人 允许 哪 种 用 户 
权限 。 这 确保 用 户 不 能 在 对 服务 器 或 客户 端 计算 机 操作 很 关键 的 地 方 进行 更 改 。 它 还 可 
防止 用 户 安装 可 能 引入 病毒 的 软件 ， 或 者 危及 网 络 的 完整 性 。 

(3) 了 解 安 全 性 选项 

目前 的 服务 器 比 以 前 的 服务 器 安全 , 但 是 Windows 服务 器 产品 中 的 功能 强大 的 安全 性 
设置 仅 当 正 确 使 用 并 加 强 监控 时 才 有 效 。 如 果 团 队 中 没有 IT 专家 且 或 不 具有 安全 问题 方 
面 的 专业 知识 ， 则 应 考虑 雇用 一 个 外 部 顾问 ， 与 其 一 起 工作 以 适当 地 保护 服务 器 。 


第 9 章 网 络 安全 实施 287 


9.4.6 ”保护 业务 应 用 程序 


许多 公司 使 用 专业 的 业务 程序 用 于 会 计 任务 、 运 行销 售 点 系统 、 跟 踪 库 存 以 及 管理 供 
应 链 。 

这 些 程序 有 时 称 为 业务 〈line-ofbusiness，LOB) 应 用 程序 ， 通 常 在 服务 器 上 运行 并 与 
数据 库 一 起 操作 。 这 种 集成 安装 有 很 多 优点 。 多 个 员工 可 以 使 用 一 个 LOB 程序 并 可 同时 
访问 数据 库 信息 。 例 如 ， 在 管理 员 创建 自 定义 的 财务 报告 时 ， 销 售 人 员 可 以 使 用 此 程序 记 
录 她 的 销售 号 。 

但 也 存在 安全 风险 。 位 于 网 络 服 务 器 上 的 客户 信息 、 销 售 情况 、 损 益 表 和 其 他 重要 业 
务 数据 易于 受 入 侵 者 的 攻击 。 并 且 ， 可 能 并 不 希望 所 有 员工 可 以 访问 所 有 种 类 的 数据 。 

问题 在 于 创建 一 种 安全 计划 ， 既 可 以 保护 LOB 程序 数据 完整 性 和 隐私 性 又 支持 有 效 
的 数据 访问 和 协作 。 下 面 介绍 了 计划 中 应 包含 的 三 种 措施 。 

1. 实施 基本 的 安全 措施 

首先 应 在 工作 场所 建立 基本 的 计算 机 安全 措施 ， 以 保护 数据 库 免 受 不 必要 的 探听 者 的 
威胁 以 及 其 他 威胁 。 应 该 实现 以 下 基本 的 安全 措施 。 

(1) 设置 防火 墙 。 防火 墙 可 帮助 在 Intemet 上 阻止 入 侵 者 访问 计算 机 和 业务 数据 。 使 
用 硬件 防火 墙 效果 最 好 ， 因 为 它 对 企业 网 络 中 的 所 有 计算 机 提供 保护 。 使 用 软件 防火 墙 提 
供 进一步 保护 也 是 一 个 不 错 的 主意 。Windows Small Business Server 2003〔 许 多 小 型 企业 将 
其 与 业务 应 用 程序 一 起 运行 ) 附带 了 防火 墙 技术 。 服 务 器 软件 的 高 级 版 本 包括 Microsoft 
Internet Security and Acceleration (ISA) Server， 一 种 高 级 防火 墙 解决 方案 。 

(2) 在 所 有 计算 机 上 安装 防 病毒 软件 。 在 服务 器 上 运行 防 病毒 软件 与 在 客户 端 计算 机 
上 运行 防 病毒 软件 同样 重要 。 应 使 用 不 仅 检测 和 禁用 病毒 ， 而 且 可 以 定期 更 新 以 筛选 新 病 
毒 的 程序 。 

(3) 使 用 加 强 密码 。 在 工作 场所 登录 到 任何 计算 机 和 服务 器 都 应 输入 密码 。 加 强 密码 
由 大 小 写字 母 、 数 字 和 符号 组 成 。 确 保 要 求 用 户 定期 更 改 密码 。 

(4) 备份 文件 。 如 果 发 生 灾 难 , 且 没 有 在 一 个 单独 的 存储 系统 上 保存 重要 文件 和 信息 ， 
则 所 有 重要 业务 应 用 程序 数据 将 会 丢失 。Windows Small Business Server 2003 包含 容易 使 
用 的 备份 功能 。 

(5) 更 新 软件 。 软 件 更 新 通常 包括 最 新 的 安全 功能 。Microsoft 产品 的 更 新 可 以 从 
Windows Update 和 Microsoft 下 载 中 心 获取 。 

2. 管理 对 信息 的 访问 权 

并 非 所 有 人 都 应 该 具有 对 工作 场所 内 所 有 信息 的 访问 权 。 如 果 企业 运行 的 是 Windows 
Server 操作 系统 ,可 以 允许 和 限 止 员工 访问 文档 、 电 子 表 格 或 其 他 业务 文件 。 还 可 以 指定 
是 允许 用 户 只 能 读 取 文 件 还 是 可 更 改 文件 。 下 面 介绍 了 管理 访问 权 的 窍门 。 

(1) 创建 多 组 用 户 ， 为 这 些 组 (而 不 是 为 单个 用 户 ) 分 配 权限 和 优先 权 。 这 样 可 以 为 
管理 访问 权限 节省 时 间 。 

(2) 根据 角色 (例如 销售 代表 ) 创建 用 户 组 。 然 后 分 配 一 组 权限 ， 这 些 权 限 与 执行 为 
角色 确定 的 任务 有 关 。 

(3) 将 每 个 角色 的 访问 权限 设置 为 用 户 进行 工作 所 需 的 最 低级 别 。 例 如 ， 如 果 销 售 代 
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表 组 只 需要 读 取 客户 档案 ， 则 不 要 给 他 们 共享 或 删除 文件 的 访问 权限 。 

一 些 LOB 应 用 程序 通过 设置 访问 权限 执行 大 部 分 工作 。 其 中 一 个 例子 是 Microsoft 
Business Solutions CRM， 一 种 跟踪 客户 销售 和 支持 关系 的 高 级 程序 (通常 与 Microsoft 
Small Business Server 2003 一 起 运行 ) ，Microsoft CRM 提供 时 具有 八 种 预先 定义 的 角色 

(从 CEO 到 业务 经 理 到 客户 销售 代表 到 专业 营销 人 员 ) 。 此 程序 还 预先 定义 了 可 以 分 
配 权限 的 一 般 商 业 元 素 ， 如 销售 线索 、 商 机 、 联 系 人 人、 账户、 竞争 对 手 、 产 品 、 销 售 文 
献 、 报 价 、 订 单 、 发 票 和 合同 。 

3. 注意 数据 库 

由 于 特定 于 业务 的 程序 通常 使 用 数据 库存 储 应 用 程序 数据 ， 请 记 住 要 特别 注意 数据 库 
的 安全 性 。 下 面 介绍 了 可 以 做 的 一 些 事情 。 

(1) 安装 最 新 的 数据 库 Service Pack。 Windows Small Business Server 2003 提供 了 
Microsoft SQL Server 2000 Desktop Edition (MSDE 2000)。 服务 器 软件 的 高 级 版 本 提供 了 更 
高 级 的 Microsoft SQL Server 2000。 当 这 些 数据 库 程序 与 业务 程序 一 起 使 用 时 ， 确 保安 装 
最 新 的 Service Pack 和 更 新 以 提高 安全 性 。 Microsoft 下 载 中 心 有 最 新 的 服务 器 应 用 程序 
更 新 。 

(2) 使 用 MBSA 评估 服务 器 的 安全 性 。 Microsoft Baseline Security Analyzer (MBSA) 
是 一 个 在 某 些 Microsoft 产品 (包括 SQL Server 和 MSDE 2000) 中 搜索 常见 的 不 安全 配 
置 的 工具 。 

(3) 使 用 Windows 身份 验证 模式 。 无 论 何 时 ， 要 连接 到 SQL Server， 应 要 求 使 用 
Windows 身份 验证 模式 。 这 将 通过 将 连接 限制 为 Microsoft Windows 用 户 和 域 用 户 账户 
来 防止 SQL Server 安装 受到 基于 Intermet 的 攻击 。 

(4) 隔离 服务 器 并 定期 备份 。 物理 和 逻辑 隔离 是 SQL Server 安全 的 基础 。 托管 
数据 库 的 计算 机 应 位 于 受到 物理 保护 的 位 置 。 定期 备份 所 有 数据 并 在 安全 的 远程 位 置 存 
储 副本 。 

9.4.7 ”从 服务 器 管理 台式 机 或 便携 机 


正当 认为 已 经 遵循 了 保护 企业 资产 免 受 病毒 、 黑 客 和 盗贼 侵害 的 所 有 规则 时 ， 某 位 员 
工 有 了 “更 好 ”的 主意 。 即使 不 是 更 好 的 主意 ， 它 清楚 地 表明 迄今 实施 的 所 有 精明 的 安全 
措施 。 

它 基 本 保证 了 适当 地 保护 企业 免 受 外 部 威胁 。 如 果 开 始 执 行 该 过 程 (更 新 软件 和 病毒 
防护 以 及 安装 防火 墙 ) ， 已 经 投入 了 大 量 时 间 、 精 力 和 金钱 。 

不 幸 的 是 ， 缺 乏 严格 的 管理 程序 会 在 无 意 中 破坏 安全 投资 ， 改 变 所 作 的 更 改 或 无 意 中 
引起 新 的 风险 。 用 户 可 能 无 法 获得 最 近 的 更 新 和 修补 程序 ， 他 们 可 能 会 下 载 未 经 授权 的 和 
有 潜在 危害 的 软件 ， 用 户 可 能 无 法 觉察 到 有 人 对 计算 机 上 的 数据 进行 未 经 授权 的 访问 。 

可 以 采取 以 下 基本 措施 。 

一 种 解决 方法 是 从 服务 器 管理 台式 机 和 便携 机 。 此 方法 不 但 将 降低 破坏 安全 措施 的 风 
险 ， 而 且 它 还 会 因 提高 效率 而 节省 大 量 的 时 间 和 金钱 。 

(1) 正确 的 安装 

从 一 开始 就 可 以 确保 在 所 有 PC 和 便携 机 上 安装 操作 系统 和 应 用 程序 的 正确 版 本 。 
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它 确 保 符 合 许可 问题 的 要 求 以 及 在 组 织 中 保持 一 致 ， 以 便 进 行文 件 共 享 和 其 他 用 途 。 

(2) 及 时 更 新 

修补 程序 和 错误 修复 与 新 版 本 软件 可 以 从 服务 器 部 署 到 用 户 的 PC 和 便携 机 上 。 这 
样 可 了 解 它 已 正确 和 及 时 地 得 到 处 理 ， 不 必 依 靠 用 户 自己 记 住 做 这 些 事情 。 

(3) 特殊 配置 

对 于 每 个 用 户 使 用 的 操作 系统 或 应 用 程序 ， 如 果 组 织 具 有 首选 设置 ， 则 可 以 从 服务 器 
在 组 织 范 围 内 管理 、 更 新 和 实施 这 些 设置 。 另外 ， 可 以 通过 限制 用 户 从 CD-ROM 和 其 他 
可 移动 驱动 器 中 运行 程序 或 从 Intemet 下 载 程序 来 防止 用 户 安装 未 授权 的 程序 。 

(4) 监控 

如 果 PC 上 出 现 未 授权 的 访问 ， 或 在 单个 机 器 上 存在 某 种 类 型 的 系统 故障 ， 则 可 通过 
受 管 PC/ 便 携 机 环境 下 可 用 的 监控 功能 立即 检测 到 此 情况 。 

如 果 正 在 考虑 购买 企业 的 第 一 台 服 务 器 或 进行 第 一 次 服务 器 升级 ， 则 对 于 Windows 
Server 2003 管理 功能 的 改进 以 及 Windows XP Professional ( 带 Service Pack 2) 中 增强 的 
安全 功能 等 方面 可 值得 留意 ， 它 们 可 提供 强大 的 防护 来 应 对 来 自 内 部 和 外 部 的 威胁 。 


9.5 及 时 备份 数据 


数据 是 重要 的 企业 资产 ， 但 也 是 最 脆弱 的 资产 。 例 如 ， 硬 盘 崩 省、 病毒 或 自然 灾难 都 
可 能 导致 丢失 所 有 客户 清单 和 财务 报表 。 

不 幸 的 是 ， 大 多 数 企 业 并 不 重视 备份 业务 数据 ， 直 至 遭受 严重 打击 才 追 悔 划 及。 但 已 
为 时 晚 侨 。 

可 以 轻松 创建 备份 文件 ， 以 便 还 原 计算 机 上 的 重要 业务 信息 ， 但 这 需要 规划 和 不 懈 的 
努力 。 需要 做 以 下 准备 。 

1. 确定 保存 的 内 容 

第 一 步 ， 要 确定 哪些 数据 需要 保护 。 不 需要 备份 任何 文字 处 理 、 电 子 表格 或 其 他 类 型 
程序 。 程序 可 以 通过 原始 磁盘 重新 安装 。 即 使 是 遭受 严重 的 破坏 ， 也 可 以 相对 轻松 地 获取 
替代 磁盘 。 

应 当 担心 的 是 企业 创建 的 相关 工作 。 包括 : 

(1) 包含 客户 联系 人 数据 和 订购 记录 的 数据 库 以 及 库存 信息 

(2) 财务 软件 数据 文件 ， 包 括 电子 表格 ; 

(3) 文档， 包括 重要 信件 、 备 忘 录 、 工 作 产 品 以 及 与 业务 计划 相关 的 所 有 内 容 

(4) 电子 邮件 ， 尤 其 是 包含 重要 数据 〈 如 ， 客 户 查 询 和 联系 人 信息 ) 的 邮件 ; 

(5) 网 站 文件 (除非 网 站 由 第 三 方 托管 ); 

(6) 任何 其 他 如 果 丢 失 将 会 给 企业 造成 巨大 困难 的 数据 。 

还 应 当 保存 系统 配置 文件 和 其 他 设置 文件 (如 Intemet 书签 )， 但 这 些 文件 并 不 像 其 
他 文件 一 样 重要 。 

请 先 确定 包含 需要 备份 的 文件 的 文件 夹 列表 ， 然 后 再 继续 操作 。 
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2. 使 用 备份 软件 

弄 清 楚 需 要 保存 的 内 容 后 ， 应 当 开 始 定期 备份 。 如 果 手 动 复制 重要 文件 进行 备份 ， 则 
当 有 大 量 文件 或 文件 夹 时 ， 将 会 很 耗 时 耗 力 。 

最 好 使 用 备份 软件 。 可 以 选择 使 用 操作 系统 附带 的 备份 软件 包 。Windows XP 和 
Windows Small Business Server 2003 都 附带 有 用 于 备份 的 工具 。Microsoft Windows XP 
Professional 附带 的 备份 工具 已 随 系统 安装 。 (如 果 使 用 Windows XP Home Edition， 则 需 
要 从 安装 光盘 上 安装 。) 

要 设置 Windows 备份 ， 请 单 击 “ 开 始 ”按钮 ， 依 次 指向 “所 有 程序 ”、“ 附 件 ”、 
“系统 工具 ”， 然 后 单 击 “ 备 份 ” 按 钮 。 单 击 “下 一 步 ” 按 钮 确认 打开 的 屏幕 ， 选 择 “ 备 
份 文件 和 设置 ”， 然 后 单 击 “ 下 一 步 ”按钮 。 

Windows 备份 工具 将 询问 要 保存 哪些 文件 。 可 能 不 需要 选择 “这 台 计 算 机 上 的 所 有 
信息 ”， 那 样 会 备份 所 有 内 容 ， 包 括 所 有 程序 文件 。 如 果 安 装 了 许多 软件 ， 则 最 后 可 能 获 
得 一 个 巨大 的 备份 文件 ， 甚 至 无 法 保存 。 

如 果 所 有 人 都 将 其 重要 文件 保存 在 “我 的 文档 ”文件 夹 中 ， 则 可 以 选择 “每 个 人 的 文 
档 和 设置 ”。 否 则 ， 应 该 选择 “让 我 选择 要 备份 的 内 容 ”， 然 后 再 选择 认为 重要 的 文件 夹 。 
完成 后 ， 单 击 “ 下 一 步 ”按钮 。 

Windows Small Business Server 2003 还 附带 有 备份 配置 向 导 ， 可 以 指定 要 复制 的 文件 
夹 (不 管 是 将 备份 保存 在 硬盘 驱动 器 上 还 是 磁带 驱动 器 上 ) 以 及 应 该 执行 备份 的 频率 。 还 
可 以 使 用 此 工具 手动 启动 备份 。 

3. 了 解 存 储 选项 

备份 工具 可 以 创建 一 个 包含 所 有 重要 文档 的 文件 , 但 需要 指定 保存 文件 的 位 置 。 默认 
情况 下 ， 文 件 将 保存 至 软盘 ， 但 如 果 信 息 量 太 大 ， 可 能 需要 成 打 甚 至 上 百 个 软盘 。 

还 可 以 选择 将 备份 保存 到 网 络 上 或 计算 机 中 另外 一 个 硬盘 驱动 器 上 。 只 需 单 击 “ 浏 览 ” 按 
钮 ， 然 后 选择 保存 文件 的 位 置 即 可 。 为 文件 指定 一 个 描述 性 名 称 ， 然 后 单 击 “下 一 步 ”按钮 。 

如 果 硬 盘 发 生 故 障 或 被 病毒 感染 ， 这 种 类 型 的 备份 可 以 提供 一 些 保护 ， 但 如 果 发 生火 
灾 或 自然 灾难 ， 可 能 会 失去 整 台 计算 机 和 全 部 数据 。 因此 ， 应 当 定 期 将 备份 文件 复制 到 
CD、DVD 或 外 部 驱动 器 上 ， 并 保存 在 办 公 场 所 以 外 的 安全 位 置 。 

可 以 从 在 Windows 备份 中 指定 的 文件 夹 中 找到 备份 文件 。 如 果 该 文件 少 于 640 兆 字 
节 ， 可 以 使 用 CD 刻录 机 将 文件 保存 到 标准 的 CD-ROM 上 。 如 果 更 大 ， 需 要 使 用 DVD。 
确保 刻录 机 可 以 写 入 可 记录 DVD。 

还 可 以 使 用 可 重复 使 用 的 介质 ， 如 闪存 或 外 挂 硬盘 驱动 器 。 检 查 备份 文件 的 大 小 以 确 
定 需要 多 少 存储 空间 。 

4. 更 多 备份 建议 

此 处 提供 了 一 些 在 执行 备份 时 可 以 参考 的 其 他 建议 : 

(1) 坚持 计划 。 请 切记 , 数据 的 安全 取决 于 最 后 一 次 备份 。 如 果 硬 盘 驱 动 器 崩溃 了 ， 
但 已 有 一 个 月 未 备份 数据 了 ,那么 将 丢失 掉 一 个 月 的 辛勤 工作 。 这 就 是 为 什么 定期 备份 数 
据 如 此 重要 。 可 能 每 晚 都 要 将 文件 备份 至 硬盘 驱动 器 或 网 络 服 务 器 。 备份 工 具 可 以 选择 备 
份 频率 及 时 间 。 

(2) 非 现场 存储 。 尽 管 每 晚 都 将 数据 备份 到 网 络 或 磁带 上 不 失 为 一 个 好 主意 ， 但 仍 需 
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要 制定 一 个 计划 将 文件 保存 到 CD、DVD 或 可 移动 存储 设备 上 ， 供 非 现场 传送 使 用 。 备份 
的 频率 视 企业 可 以 承受 丢失 数据 的 程度 而 定 。 

(3) 练习 还 原 数 据 。 最 好 永远 都 不 要 使 用 备份 ， 但 最 好 还 是 了 解 还 原 数据 并 不 比 备份 
数据 轻松 。 如 果 使 用 Windows Small Business Server 2003,， 则 可 按照 其 步骤 将 整个 服务 器 上 
的 全 部 内 容 还 原 为 单个 文件 。Windows 备份 也 支持 使 用 备份 文件 执行 还 原 。 应 当 在 使 用 前 
测试 备份 步骤 。 请 使 用 只 安装 了 操作 系统 ， 但 未 接 入 网 络 的 计算 机 。 如 果 测 试 现 有 网 络 上 
的 备份 ， 则 可 能 意外 以 旧 数据 覆盖 新 文件 ， 或 错误 识别 潜在 问题 。 

备份 是 灾难 和 系统 故障 的 有 力 保障 ， 但 前 提 是 必须 抽出 时 间 定 期 备份 系统 。 


9.6 ”保护 敏感 文档 


在 计算 机 诞生 前 ， 要 想 找 到 重要 的 公司 报告 和 记录 ， 必 须 离 开 自己 的 座位 ， 然 后 在 锁 
着 的 文件 柜 中 大 找 特 找 。 

但 是 ， 今 天 的 数字 化 工作 场所 已 经 大 大 简化 了 文档 的 使 用 过 程 。 坐 在 PC 前 面 的 员工 
或 者 某 个 聪明 的 外 部 人 员 ， 只 要 单 击 几 下 鼠标 就 能 查找 和 查看 几乎 所 有 公司 文档 。 

企业 所 有 者 对 此 异常 关注 。 未 经 授权 地 查看 和 分 发 机 密 客户 数据 、 财 务 记 录 、 员 工 信 
息 、 产 品 规格 以 及 其 他 敏感 文档 可 能 给 公司 带 来 灾难 。 泄 露 机 密 信息 可 能 导致 公司 的 利润 
损失 、 威 胁 到 公司 的 竞争 实力 、 无 法 公正 地 做 出 采购 和 聘用 决策 、 降 低 客户 信任 度 等 问题 。 
例如 ， 如 果 有 人 将 工资 单 报告 传播 出 去 ， 可 能 就 会 引起 员工 的 不 满 情 绪 。 

如 何 防止 其 他 人 未 经 授权 地 查看 敏感 文档 ? 下 面 介 绍 几 种 对 机 密 文档 进行 保密 的 
策略 。 

1. 保护 文档 的 几 种 简单 方法 

以 下 几 种 简单 方法 和 现成 的 技术 工具 对 保护 文档 的 安全 大 有 帮助 。 

(1) 销毁 硬 拷贝 。 如 果 在 开会 期 间 打印 出 机 密 文档 以 便 大 家 传阅 ， 请 在 会 后 将 它们 
集中 收集 起 来 ， 然 后 亲自 或 要 求 与 会 者 将 它们 销毁 。 

(2) 标记 文档 。 有 时 ,员工 可 能 不 知道 文档 中 包含 机 密 信 息 , 因此 没有 采取 预防 措施 。 
如 果 知 道 , 他 们 肯定 会 采取 措施 。 因此 , 请 告诉 作者 在 页 眉 或 页 脚 处 标明 “机 密 ” 字 样 。 他 
们 也 可 以 在 文档 上 加 个 机 密 水 印 。 在 Word 2003 中 ， 从 “格式 ”菜单 中 选择 “背景 ”， 然 
后 选择 “水 印 ”。 在 对 话 框 中 选择 “文字 水 印 ”， 然 后 从 下 拉 列 表 中 选择 “保密 ”。 

(3) 使 用 密码 保护 。 通 过 要 求 要 打开 文档 的 用 户 知道 并 且 输 入 创建 并 与 他 们 共享 的 密 
码 ， 可 以 限制 查看 文档 的 用 户 。 使 用 Microsoft Office 2003 创建 的 文档 、 电 子 表格 和 演示 
文稿 全 都 具有 此 功能 。 只 需 打 开 文 件 ， 从 “工具 ”菜单 中 选择 “选项 ”， 然 后 单 击 “ 安 全 
性 ”选项 卡 。 可 以 设置 打开 和 修改 文档 的 密码 。 虽 然 黑 客 有 发 现 密码 的 工具 ， 但 是 密码 通 
常 可 以 增加 查看 文档 的 难度 。 

(4) 安装 防火 墙 。 安装 防火 墙 有 许多 理由 , 保护 重要 文档 无 疑 是 其 中 比较 重要 的 一 个 。 
防火 墙 可 以 阻止 Intemet 入 侵 者 访问 计算 机 文件 和 查看 信息 。Windows XP Professional 附 
带 一 个 很 容易 设置 的 软件 防火 墙 。 

(5) 锁 门 。 为 了 防止 其 他 人 进入 办 公 室 ， 搬 走 计 算 机 并 且 将 硬盘 上 的 所 有 文档 顺手 牵 
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羊 ,请 不 要 将 计算 机 留 在 无 人 看 管 的 区 域 并 且 确 保 下 班 后 锁 好 办 公 室 门 。 如 果 还 有 服务 器 ， 
请 将 它 放 在 全 天 候 上 锁 的 特殊 区 域内 。 

2. 高 级 文档 保护 

由 于 许多 保护 敏感 文档 的 解决 方案 都 非常 复杂 ， 因 此 需要 技术 顾问 的 帮助 。 但 是 ， 如 
果 文 档 安全 是 首要 问题 ， 需 要 仔细 考虑 以 下 策略 。 

(1) 加 密 文 档 文 件 

如 果 公 司 的 计算 机 被 盗 ， 加 密 可 以 保护 文档 的 安全 。 对 于 经 常 携带 便携 式 计算 机 出 差 
的 商业 人 士 来 说 ， 加 密 是 一 种 非常 可 靠 的 技术 。 数 据 加 密 之 后 ， 只 有 那些 拥有 安装 在 他 们 
计算 机 上 的 必要 “ 密 钥 ”的 用 户 才 能 访问 ， 其 他 人 无 法 访问 。 

Windows XP Professional 附带 加 密 文件 系统 (EFS) ， 可 以 利用 它 来 加 密 单个 文件 以 及 
整个 文件 夹 的 内 容 。 利用 EFS， 只 有 加 密 文档 的 用 户 才 能 打开 文档 并 且 对 其 进行 处 理 。 不 
过 ， 内 置 的 数据 恢复 支持 允许 在 员工 离职 后 或 文件 加 密 密 钥 丢失 后 恢复 员工 加 密 的 数据 。 

虽然 加 密 听 起 来 技术 性 很 强 ， 但 是 并 不 需要 外 部 顾问 来 教 如 何 使 用 它 。EFS 的 默认 配 
置 使 用 户 不 必 花 费 过 多 的 精力 就 能 开始 加 密 文件 并 且 创 建 所 需 的 全 部 密 钥 。 

(2) 分 配 文 件 权限 

如 果 企 业 使 用 服务 器 ,可 以 通过 分 配 权 限 来 限制 查看 或 更 改 文档 的 用 户 。 基本 上 可 以 
按照 所 有 者 的 要 求 授予 或 拒绝 用 户 对 文档 〈 或 任何 计算 机 资源 ) 的 访问 权限 。 

访问 权限 适用 于 个 人 以 及 用 户 组 。 通 用 权限 允许 用 户 查看 或 读 取 一 个 文件 或 一 个 文件 
夹 中 的 所 有 文件 ， 以 及 更 改 或 写 入 一 个 文件 或 一 个 文件 夹 中 的 所 有 文件 。Windows Small 
Businesses Server 2003 以 及 其 他 Windows Server 系统 使 可 以 通过 “访问 控制 列表 ”来 使 
用 权限 。 

(3) 使 用 信息 权限 管理 

对 于 直接 与 Microsoft Office Professional 2003 版 的 Word、Excel、PowerPoint 和 Outlook 
集成 的 文档 保护 系统 ， 可 以 考虑 使 用 Microsoft 公司 开发 的 信息 权限 管理 (IRM) 技术 。 

利用 IRM, 可 以 设置 不 同 级 别 的 文件 权限 并 且 更 改 特定 用 户 和 用 户 组 的 级 别 。 也 可 以 : 

@ ”限制 文件 打印 ， 以 便 减少 生成 的 硬 拷 贝 数 

@ 限制 文件 打开 的 时 间 范 围 

e@ 阻止 未 经 授权 的 收 件 人 打开 转发 的 文件 

此 外 ， 即 使 在 电子 邮件 消息 和 附件 发 送出 去 之 后 ， 也 可 以 利用 RM 来 控制 它们 。 它 
可 以 阻止 其 他 人 复制 、 转 发 或 打印 电子 邮件 消息 。 

IRM 要 求 公 司 服务 器 必须 运行 Windows Server 2003 。 

对 于 大 多 数 情况 ， 只 要 严 加 防范 并 且 利 用 常识 就 能 很 好 地 保护 敏感 文档 。 但 是 ， 企 业 
因 泄 露 报 告 、 报 表 以 及 其 他 机 密 文档 而 遭受 的 损失 越 大 ， 需 要 在 文档 保护 解决 方案 上 的 投 
资 也 就 越 大 。 而 在 数字 化 高 度 发 展 的 今天 ， 这 并 不 表示 需要 再 给 文件 柜 加 上 一 把 锁 。 


9.7 日志 分 析 


通常 情况 下 , 计算 机 系统 和 网 络 设备 都 为 我 们 提供 了 记录 操作 日 志 的 功能 ， 也 就 是 说 ， 
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可 以 根据 需要 ， 对 各 种 操作 记录 日 志 信息 ， 因 为 这 是 由 操作 系统 来 完成 的 ， 不 管 是 正常 操 
作 还 是 攻击 操作 ， 都 会 被 记录 下 来 ， 然 后 通过 定期 或 者 不 定期 的 日 志 分 析 检查 ， 就 可 以 发 
现 计 算 机 系统 和 网 络 设备 是 否 受 到 攻击 以 及 攻击 的 相关 信息 。 

1. 日志 监 测 和 分 析 的 重要 性 
日 志 数 据 可 以 是 有 价值 的 信息 宝库 ， 也 可 以 是 毫 无 价值 的 数据 泥潭 。 要 保护 和 提高 你 
的 网 络 安全 ， 由 各 种 操作 系统 、 应 用 程序 、 设 备 和 安全 产品 的 日 志 数据 能 够 帮助 你 提前 发 
现 和 避 开 灾难 ， 并 且 找 到 安全 事件 的 根本 原因 。 
当然 ， 日 志 数据 对 于 实现 网 络 安全 的 价值 有 多 大 取决 于 两 个 因素 : 第 一 ， 你 的 系统 和 
设备 必须 进行 合适 的 设置 以 便 记 录 你 需要 的 数据 。 第 二 ， 你 必须 有 合适 的 工具 、 培 训 和 可 
用 的 资源 来 分 析 收 集 到 的 数据 。 

(1) 你 不 能 分 析 你 没有 的 东西 

在 你 能 够 分 析 日 志 数据 之 前 ， 你 显然 要 收集 数据 。 更 重要 的 是 ， 记 录 数 据 的 程序 或 者 
设备 要 设置 为 收集 你 需要 的 数据 。 例 如 ， 微 软 的 Windows 操作 系统 在 “Event Viewer 
Security”〔 安 全 事件 观察 器 ) 中 能 够 检查 到 各 种 活动 和 日 志 信息 。 然 而 ,在 Windows 2000 
和 XP 中 ， 安 全 检查 功能 并 不 是 默认 启用 的 ，Windows Server 2003 默认 的 安全 检查 设置 也 
许 不 能 满足 你 的 需求 。 

对 于 Windows 中 的 安全 检查 事件 , 你 可 以 选择 记录 成 功 的 尝试 , 或 者 记录 失败 的 尝试 。 
如 果 你 仅 选择 记录 失败 的 访问 文件 和 文件 夹 的 数据 ， 记 录 的 数据 就 不 会 显示 这 个 文件 是 什 
么 时 候 被 成 功 破 解 的 。 如 果 你 仅 记录 成 功 地 访问 一 个 用 户 账 号 的 尝试 ， 记 录 的 数据 就 不 会 
向 你 显示 一 个 黑客 50 次 没有 猜 对 那个 账号 的 用 户 名 和 密码 。 

无 论 你 是 在 使 用 Windows 操作 系统 还 是 任何 其 他 的 设备 和 程序 ， 你 必须 花费 一 些 时 间 
和 努力 事先 了 解 你 拥有 的 安全 日 志 功能 ， 并 且 为 你 的 需要 恰当 地 设置 好 日 志 选 项 。 虽 然 简 
单 地 把 一 切 都 记录 下 来 似乎 是 合乎 逻辑 的 ， 但 是 ， 监 测 和 记录 安全 事件 会 给 处 理 器 增加 工 
作 负 担 并 且 要 使 用 内 存 和 硬盘 的 空间 。 你 需要 了 解 可 用 的 日 志 选 项 ， 在 记录 一 切 和 全 不 记 
录 之 间 选 择 最 佳 的 平衡 点 ， 以 便 记录 对 你 有 价值 的 数据 。 

(2) 信息 过 载 

一 旦 你 收集 完 日 志 数 据 , 这 个 挑战 就 是 如 何 有 效 地 利用 这 些 数据 。 位 于 新 泽 西 州 Edison 
的 netForensics 公司 安全 战略 家 Anton Chuvakin 指出 : “一 旦 技术 合适 和 收集 完 日 志 ， 就 
需要 实施 一 个 监测 程序 并 且 评估 行动 中 的 陷阱 和 可 能 的 升级 ”。 

网 络 和 安全 管理 员 经 常 花 费时 间 建 立 日 志 数 据 收 集 ， 但 是 ， 他 们 没有 处 理 这 些 数据 或 
者 没有 现成 的 资源 来 监测 和 分 析 那 些 数据 。 因 为 没有 人 监测 这 些 日 志 数 据 ， 有 关 网 络 侦察 
或 者 潜在 的 攻击 的 信息 也 许 会 被 忽略 而 失去 时 效 。 

当 安 全 事件 发 生 时 ， 查 看 日 志 数 据 也 许可 以 确定 事件 发 生 的 时 间 。 但 是 ， 在 很 多 情况 
下 ， 需 要 查看 的 数据 量 太 大 ， 人 们 没有 经 过 技术 培训 或 者 不 会 查看 这 些 数 据 ， 有 日 志 数 据 
也 没有 意义 了 。 

现在 ， 有 安全 事件 管理 SEM) 应 用 软件 等 一 些 工具 专门 用 于 监测 安全 事件 并 且 使 用 
某 些 逻辑 或 者 过 滤器 帮助 管理 员 获 取 有 意义 的 数据 。 然 而 ， 这 些 工 具 仍 需要 设置 和 恰当 地 
使 用 才能 有 效率 。 人 们 要 对 过 滤 的 数据 有 所 了 解 并 且 采 取 措施 。 

收集 堆积 如 山 的 事件 日 志 数 据 ， 如 果 没 有 经 过 培训 的 人 员 和 资源 对 这 些 日 志 数 据 进行 
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监测 和 分 析 ， 就 如 同 没有 收集 任何 数据 一 样 毫 无 用 处 。 下 面 我 们 将 提供 一 些 技巧 ， 帮 助 你 
了 解 这 些 日 志 数 据 的 意义 ， 并 且 使 用 这 些 数据 保护 你 的 网 络 和 增强 网 络 的 安全 。 
2. 如 何 有 效 使 用 日 志 数 据 
日 志 数 据 在 管理 计算 机 或 者 网 络 方面 是 一 种 有 价值 的 和 实用 的 工具 。 事 先 监测 日 志 数 
据 以 寻找 可 疑 的 活动 迹象 的 能 力 或 者 在 发 生 安 全 事件 时 分 析 日 志 数 据 是 非常 有 价值 的 。 

第 一 步 是 确保 你 的 系统 和 设备 进行 了 正确 的 配置 ， 以 便 检查 和 记录 事件 。 假 设 日 志 数 
据 已 经 被 捕捉 和 存储 ， 你 需要 一 个 有 效 的 工作 流程 来 检查 和 分 析 这 些 数 据 。 下 面 的 一 些 建 
议 可 以 向 你 提供 一 些 指 南 并 且 确 保 你 最 有 效 和 最 充分 地 使 用 你 的 日 志 数 据 。 

(1) 有 规律 地 检查 日 志 数 据 

虽然 日 志 数 据 在 安全 事件 发 生 时 用 作法 院 的 证 据 是 非常 有 效 的 ， 但 是 ， 如 果 有 规律 地 
分 析 这 些 日 志 数据 ， 这 种 安全 事件 也 许 根本 就 不 会 发 生 。 

应 该 建立 一 个 工作 流程 ， 确 定 多 长 时 间 检 查 和 分 析 一 次 收集 到 的 日 志 数 据 。 定 期 分 析 
由 整个 网 络 中 的 各 种 应 用 程序 和 设备 收集 到 的 海量 日 志 数 据 有 助 于 找 出 和 诊断 故障 ， 还 可 
能 发 现 正在 进行 中 的 攻击 。 

(2) 以 开放 的 眼光 查看 日 志 信息 

在 分 析 日 志 数 据 时 常见 的 错误 是 要 具体 找 出 已 知 的 事件 或 者 日 志 项 。 然 而 ， 日 志 数 据 
中 多 数 有 价值 的 内 容 似乎 存在 于 表面 上 很 好 或 者 正常 的 日 志 项 目 中 。 通 过 以 开放 的 眼光 检 
查 这 些 日 志 项 目 ， 你 也 许 会 找到 可 疑 的 活动 迹象 。 如 果 你 仅仅 查看 错误 信息 ， 这 种 迹象 很 
可 能 会 漏 掉 。 

如 果 把 日 志 审查 的 重点 放 在 查找 已 知 的 恶意 活动 方面 ， 任 何 新 出 现 的 威胁 或 者 对 客户 
的 攻击 都 会 由 于 失 查 而 漏 掉 。 

(3) 通过 一 个 透镜 查看 数据 

整个 网 络 中 的 设备 和 应 用 程序 将 收集 日 志 数 据 。 遗 憾 的 是 没有 一 种 通用 的 格式 或 者 方 
法 来 记录 和 显示 事件 的 信息 。 

为 了 进行 准确 的 比 对 ， 某 种 形式 的 转化 便 产 生 了 ， 也 就 是 对 日 志 数据 实施 “正常 化 ”。 
一 旦 数据 压缩 为 通用 的 组 件 ， 就 很 容易 把 这 个 网 络 作为 一 个 整体 进行 分 析 ， 而 不 是 作为 一 
个 单独 的 日 志 项 目 进行 分 析 。 这 样 就 可 以 更 好 地 根据 轻重 缓急 对 发 现 的 问题 进行 处 理 或 者 
做 出 反应 。 


网 络 安全 实施 原则 是 什么 ? 

网 络 安全 措施 包括 的 15 项 内 容 是 什么 ? 
保护 网 络 安全 的 7 个 步骤 是 什么 ? 
怎样 保护 敏感 文件 ? 

怎样 通过 日 志 分 析 检 查 网 络 安全 ? 
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